TILDA

Tilda-Bug-Bounty-Programm

Tilda-Belohnungsprogramm für technische Schwachstellen

Wir belohnen Sicherheitsforscher, die in der Lage sind, Schwachstellen in Tilda und den zugehörigen Modulen und Microservices zu entdecken . Bei Fragen, die sich nicht auf dieses Programm beziehen, wenden Sie sich bitte per E-Mail an unser Support-Team unter team@tilda.cc

Wenn Sie einen Fehler entdecken, senden Sie eine E-Mail an unser technisches Support-Team unter tech@tilda.cc Geben Sie in Ihrer E-Mail eine detaillierte Beschreibung des Fehlers und die folgenden Informationen an:

den Dienst oder das Modul, in dem die Sicherheitslücke entdeckt wurde;
Art der Schwachstelle;
die Bedrohung, die sie darstellt;
wie sie reproduziert werden kann;
Ihre Vorschläge, wie das Problem behoben werden kann.

Nicht-qualifizierende Schwachstellen

Berichte von Sicherheitsscannern und anderen automatisierten Systemen ohne klaren Nachweis der tatsächlichen Schwachstelle;
Berichte über die Offenlegung nicht vertraulicher Informationen, wie z. B. der Produktversion;
E-Mails über Sicherheitslücken auf der Grundlage von Produkt-/Protokollversionen, ohne dass die tatsächliche Sicherheitslücke klar aufgezeigt wird;
Meldungen über das Fehlen eines Schutzmechanismus ohne Hinweis auf tatsächliche negative Folgen;
Daten, die mit Hilfe von Social Engineering erlangt wurden;
SelfXSS.

Belohnungen

Der Mindestbetrag für das Kopfgeld beträgt 50 $;
Die Höhe der Auszahlung hängt davon ab, wie schwerwiegend die entdeckte Schwachstelle ist: Je schwerwiegender der gefundene Fehler ist, desto höher ist die Belohnung;
Jeder Fall wird einzeln betrachtet, aber in der Regel hängt die Höhe der Auszahlung von den Zahlungen für ähnliche Sicherheitslücken auf HackerOne ab.

Regeln des Engagements

Die Belohnung für die Sicherheitslücke wird nur an den ersten Forscher gezahlt, der die Sicherheitslücke gemeldet hat;
Es erfolgt keine Auszahlung, wenn Sie die entdeckten Schwachstellen gegen Tilda-Benutzer verwenden;
Nur Personen, die das 18. Lebensjahr vollendet haben, können an dem Programm teilnehmen;
Es ist verboten, Informationen über einen entdeckten Fehler innerhalb von 90 Tagen nach der Meldung weiterzugeben oder zu veröffentlichen;
Es ist verboten, einen Code zu veröffentlichen, der die Verwundbarkeit von öffentlich zugänglichen Ressourcen enthält oder beschreibt.