Directrices del programa de divulgación ThreatDown

Divulgación responsable frente a divulgación irresponsable

Según nuestra experiencia, (a) la divulgación del código de explotación de la prueba de concepto, (b) los detalles innecesarios para transmitir el mensaje o (c) la publicación de los detalles de la vulnerabilidad antes de que esté disponible una solución representan una divulgación irresponsable que causa más daño que beneficio, ya que atrae una atención innecesaria hacia un problema de seguridad. Por lo tanto, el programa ThreatDown solo premiará con recompensas por errores a los informantes que sigan las directrices de divulgación responsable.

¿Qué entendemos por Bug Bounty?

ThreatDown recompensas en efectivo por los errores más interesantes. La cantidad otorgada por los errores interesantes depende de la gravedad y la explotabilidad del error. Sin embargo, ThreatDown el derecho de aumentar esta cantidad según cada caso.

¿Qué obligaciones de confidencialidad asumo al enviar una propuesta?

Si nos envía una propuesta para este programa, acepta que nunca revelará el código de explotación funcional (incluidos los binarios de ese código) para la vulnerabilidad aplicable a ninguna otra entidad, a menos que ThreatDown ese código público o que la ley le obligue a revelarlo. Esto no le impide discutir la vulnerabilidad o mostrar los efectos de la explotación en el código.

¿Qué tipos de vulnerabilidades acepta el programa CVD?

Siga las directrices de nuestro programa en la plataforma HackerOne.

Última edición: 9 de enero de 2026