Programa de Bug Bounty y Divulgación Responsable

La seguridad de nuestros miembros es lo primero. El programa de bug bounty de MeuPatrocínio invita a investigadores de seguridad de Brasil y del mundo a probar nuestros sistemas y reportar vulnerabilidades de forma responsable.

Los reportes válidos reciben una respuesta rápida y recompensas de hasta R$ 5.000, según la severidad de la falla.

¿Encontraste una falla de seguridad?

Reportar vulnerabilidad

security@meupatrocinio.com

Cómo reportar una vulnerabilidad

Envía un correo a security@meupatrocinio.com con un informe por vulnerabilidad. Cuanto más completo sea el informe, más rápida será la evaluación. Incluye:

  • Descripción de la falla: tipo de vulnerabilidad y dónde ocurre (URL, endpoint o pantalla).
  • Pasos para reproducir: una prueba de concepto (PoC) clara, con solicitudes, payloads o capturas de pantalla.
  • Impacto: qué podría hacer un atacante al explotar la falla.

Alcance del programa

Dentro del alcance

  • www.meupatrocinio.com (sitio institucional)
  • app.meupatrocinio.com (plataforma)
  • Aplicaciones oficiales de MeuPatrocínio para iOS y Android
  • Flujos de pago, correos transaccionales e integraciones con terceros, cuando la falla esté de nuestro lado (configuración, código o flujo de MeuPatrocínio)

Fuera del alcance

  • La infraestructura de los propios proveedores (procesador de pago, atención, CDN, proveedor de correo). Las fallas en esos sistemas deben reportarse al proveedor
  • Cualquier otra infraestructura que no pertenece a MeuPatrocínio
  • Fallas en software de terceros sin explotación comprobada en nuestro entorno

Reglas del programa

Para que la prueba se considere autorizada, sigue estas reglas:

  • Usa solo cuentas creadas por ti. Nunca accedas, modifiques ni descargues datos de otros usuarios.
  • Nada de denegación de servicio (DoS/DDoS) ni pruebas que degraden la plataforma.
  • La ingeniería social, el phishing y los ataques físicos contra empleados o miembros están prohibidos.
  • Evita escáneres automatizados agresivos. Prefiere pruebas dirigidas y de bajo volumen.
  • No exijas pago para entregar los detalles de la falla. La extorsión descalifica el reporte y anula la protección de esta política.

Vulnerabilidades fuera del alcance

Los siguientes puntos normalmente no califican para recompensa, a menos que incluyan una prueba de explotación con impacto real:

  • Self-XSS
  • Clickjacking en páginas sin acciones sensibles
  • Ausencia de headers de seguridad (CSP, HSTS) sin PoC de explotación
  • Divulgación de versión de software o banners
  • Configuración de SPF, DKIM y DMARC
  • Ausencia de rate limiting sin demostración de abuso relevante
  • Buenas prácticas genéricas sin un escenario de ataque concreto

Recompensas

Las recompensas siguen la tabla de abajo. La severidad la clasifica nuestro equipo de seguridad, con el CVSS como referencia. El monto final dentro de cada rango depende del impacto real y de la calidad del informe.

Severidad Ejemplos Recompensa
Crítica Ejecución remota de código, acceso a datos de otros miembros, bypass de autenticación R$ 2.500 a R$ 5.000
Alta Inyección SQL, XSS almacenado en área sensible, IDOR con exposición de datos personales R$ 1.000 a R$ 2.500
Media CSRF con impacto real, XSS reflejado, filtración de información sensible R$ 300 a R$ 1.000
Baja Fallas de bajo impacto con un escenario de ataque demostrado Hasta R$ 300

Cuando la misma falla es reportada por más de una persona, la recompensa va al primer informe válido.

Divulgación responsable y buena fe

MeuPatrocínio no tomará acciones legales contra investigadores que actúen de buena fe, respeten el alcance y las reglas de esta página y nos den un tiempo razonable para corregir el problema antes de cualquier divulgación.

Tratamos los datos personales conforme a la ley brasileña de protección de datos (LGPD) y el Marco Civil da Internet. Si durante la prueba encuentras datos de cualquier usuario, detente de inmediato y avísanos en tu reporte.

Nuestro compromiso contigo

  • Primera respuesta: dentro de 3 días hábiles.
  • Evaluación y validación: dentro de 7 días hábiles.
  • Seguimiento: recibes actualizaciones hasta la corrección y la definición de la recompensa.

Preguntas frecuentes

¿Cómo funciona el programa de bug bounty de MeuPatrocínio?

Pruebas los sistemas listados en el alcance, siguiendo las reglas de esta página. Al encontrar una vulnerabilidad, envía el informe a security@meupatrocinio.com. Nuestro equipo valida el problema, lo corrige y paga la recompensa según la tabla de severidad, que llega a R$ 5.000.

¿Necesito autorización para probar la plataforma?

No. Esta página es tu autorización, siempre que pruebes solo los activos dentro del alcance, uses cuentas creadas por ti y respetes las reglas del programa. Las pruebas fuera de estas condiciones no están autorizadas.

¿Qué debo hacer si encuentro datos de otros usuarios?

Detén la prueba de inmediato. No guardes, copies ni compartas los datos. Informa lo ocurrido en tu reporte para que nuestro equipo pueda investigar. Tratamos los datos personales conforme a la LGPD brasileña y esperamos el mismo cuidado de los investigadores.

¿Puedo divulgar la vulnerabilidad públicamente?

Solo después de que la corrección sea confirmada y nuestro equipo lo autorice por escrito. La divulgación coordinada protege a los miembros de la plataforma mientras se resuelve el problema.