Programa de Bug Bounty e Divulgação Responsável

A segurança dos nossos membros vem antes de tudo. O programa de bug bounty do MeuPatrocínio convida pesquisadores de segurança do Brasil e do mundo a testar nossos sistemas e reportar vulnerabilidades de forma responsável.

Relatórios válidos recebem resposta rápida e recompensas de até R$ 5.000, conforme a severidade da falha.

Encontrou uma falha de segurança?

Reportar vulnerabilidade

security@meupatrocinio.com

Como reportar uma vulnerabilidade

Envie um e-mail para security@meupatrocinio.com com um relatório por vulnerabilidade. Quanto mais completo o relatório, mais rápida a triagem. Inclua:

  • Descrição da falha: tipo de vulnerabilidade e onde ela ocorre (URL, endpoint ou tela).
  • Passos para reproduzir: uma prova de conceito (PoC) clara, com requisições, payloads ou capturas de tela.
  • Impacto: o que um atacante conseguiria fazer explorando a falha.

Escopo do programa

Em escopo

  • www.meupatrocinio.com (site institucional)
  • app.meupatrocinio.com (plataforma)
  • Aplicativos oficiais do MeuPatrocínio para iOS e Android
  • Fluxos de pagamento, e-mails transacionais e integrações com terceiros, quando a falha estiver do nosso lado (configuração, código ou fluxo do MeuPatrocínio)

Fora de escopo

  • A infraestrutura dos próprios fornecedores (processador de pagamento, atendimento, CDN, provedor de e-mail). Falhas nesses sistemas devem ser reportadas ao fornecedor
  • Qualquer outra infraestrutura que não pertence ao MeuPatrocínio
  • Falhas em software de terceiros sem exploração comprovada no nosso ambiente

Regras do programa

Para que o teste seja considerado autorizado, siga estas regras:

  • Use apenas contas criadas por você. Nunca acesse, altere ou baixe dados de outros usuários.
  • Nada de negação de serviço (DoS/DDoS) ou testes que degradem a plataforma.
  • Engenharia social, phishing e ataques físicos contra funcionários ou membros são proibidos.
  • Evite scanners automatizados agressivos. Prefira testes direcionados e de baixo volume.
  • Não exija pagamento para entregar detalhes da falha. Extorsão desqualifica o relatório e encerra a proteção desta política.

Vulnerabilidades fora de escopo

Os itens abaixo normalmente não se qualificam para recompensa, a menos que venham com uma prova de exploração de impacto real:

  • Self-XSS
  • Clickjacking em páginas sem ações sensíveis
  • Ausência de headers de segurança (CSP, HSTS) sem PoC de exploração
  • Divulgação de versão de software ou banners
  • Configuração de SPF, DKIM e DMARC
  • Ausência de rate limiting sem demonstração de abuso relevante
  • Melhores práticas genéricas sem cenário de ataque concreto

Recompensas

As recompensas seguem a tabela abaixo. A severidade é classificada pela nossa equipe de segurança, com o CVSS como referência. O valor final dentro de cada faixa depende do impacto real e da qualidade do relatório.

Severidade Exemplos Recompensa
Crítica Execução remota de código, acesso a dados de outros membros, bypass de autenticação R$ 2.500 a R$ 5.000
Alta SQL injection, XSS armazenado em área sensível, IDOR com exposição de dados pessoais R$ 1.000 a R$ 2.500
Média CSRF com impacto real, XSS refletido, vazamento de informações sensíveis R$ 300 a R$ 1.000
Baixa Falhas de baixo impacto com cenário de ataque demonstrado Até R$ 300

Quando a mesma falha é reportada por mais de uma pessoa, a recompensa vai para o primeiro relatório válido.

Divulgação responsável e boa-fé

O MeuPatrocínio não vai acionar judicialmente pesquisadores que ajam de boa-fé, respeitem o escopo e as regras desta página e nos deem tempo razoável para corrigir o problema antes de qualquer divulgação.

Tratamos dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD) e o Marco Civil da Internet. Se durante o teste você encontrar dados de qualquer usuário, pare imediatamente e nos avise no relatório.

Nosso compromisso com você

  • Primeira resposta: em até 3 dias úteis.
  • Triagem e validação: em até 7 dias úteis.
  • Acompanhamento: você recebe atualizações até a correção e a definição da recompensa.

Perguntas frequentes

Como funciona o programa de bug bounty do MeuPatrocínio?

Você testa os sistemas listados no escopo, seguindo as regras desta página. Ao encontrar uma vulnerabilidade, envie o relatório para security@meupatrocinio.com. Nossa equipe valida o problema, corrige e paga a recompensa conforme a tabela de severidade, que chega a R$ 5.000.

Preciso de autorização para testar a plataforma?

Não. Esta página é a sua autorização, desde que você teste apenas os ativos em escopo, use contas criadas por você e respeite as regras do programa. Testes fora dessas condições não estão autorizados.

O que devo fazer se encontrar dados de outros usuários?

Pare o teste imediatamente. Não salve, copie nem compartilhe os dados. Informe o ocorrido no seu relatório para que a nossa equipe possa investigar. Tratamos dados pessoais conforme a LGPD e esperamos o mesmo cuidado de quem pesquisa.

Posso divulgar a vulnerabilidade publicamente?

Somente depois que a correção for confirmada e a nossa equipe autorizar por escrito. A divulgação coordenada protege os membros da plataforma enquanto o problema é resolvido.