Programa de Recompensas por Bugs

En Monitorator, valoramos la seguridad y privacidad de nuestros usuarios por encima de todo. Nuestro programa de recompensas por bugs está enfocado en identificar y corregir vulnerabilidades que puedan afectar la seguridad de nuestra plataforma y los datos de nuestros usuarios.

Política de Reporte y Pago

  • Solo se recompensará al primer investigador que reporte cada vulnerabilidad específica
  • Si un bug ya ha sido reportado, no se otorgará recompensa por reportes adicionales del mismo problema
  • Bajo solicitud, podemos proporcionar evidencia de la fecha del reporte original para verificar la prioridad
  • El pago se procesará una vez que la vulnerabilidad haya sido verificada y aceptada por nuestro equipo

Alcance del Programa

Este programa se centra exclusivamente en vulnerabilidades de seguridad que afecten a:

  • Sistema de autenticación y autorización
  • Gestión de datos sensibles de usuarios
  • Sistema de integraciones (Stripe, Google Analytics, Plausible)
  • API endpoints
  • Protección de credenciales y tokens
  • Seguridad general de la plataforma

Niveles de Recompensa

Crítico (€400 - €500)

  • Acceso no autorizado a datos sensibles de usuarios
  • Ejecución remota de código (RCE)
  • Bypass completo de autenticación
  • Acceso a credenciales de integración de otros usuarios
  • Vulnerabilidades que permitan acceso total a cuentas de usuario

Alto (€300 - €400)

  • Inyección SQL
  • Cross-Site Scripting (XSS) persistente
  • Exposición de datos sensibles en APIs
  • Vulnerabilidades de escalada de privilegios
  • Manipulación de permisos entre cuentas

Medio (€200 - €300)

  • Cross-Site Scripting (XSS) reflejado
  • Cross-Site Request Forgery (CSRF) en funciones críticas
  • Vulnerabilidades en el sistema de pagos
  • Problemas de configuración que expongan información sensible
  • Race conditions que afecten la integridad de los datos

Bajo (€100 - €200)

  • Vulnerabilidades de seguridad de bajo impacto
  • Problemas de configuración que podrían llevar a exposición de datos
  • CSRF en funciones no críticas
  • Problemas de validación que podrían afectar la seguridad

Fuera de Alcance (No Recompensado)

Los siguientes tipos de reportes no son elegibles para recompensas:

  • Problemas de UI/UX y maquetación
  • Bugs de diseño responsive
  • Problemas de usabilidad
  • Errores visuales o cosméticos
  • Problemas de rendimiento
  • Spam
  • Ataques de fuerza bruta
  • Problemas en sistemas de terceros
  • Reportes duplicados de vulnerabilidades ya identificadas

Nota: En casos excepcionales, podríamos ofrecer una recompensa simbólica de hasta €50 por bugs particularmente significativos, pero esto será a nuestra discreción y no debe considerarse como parte estándar del programa.

Proceso de Reporte

  1. Envía tu reporte detallado a [email protected]
  2. Incluye pasos claros para reproducir la vulnerabilidad
  3. Proporciona evidencia (screenshots, códigos, etc.)
  4. Nuestro equipo revisará el reporte en 48-72 horas
  5. Te mantendremos informado del progreso
  6. Una vez verificado y aceptado como primer reporte, procesaremos tu recompensa

Reglas del Programa

  • No realizar pruebas que puedan afectar a usuarios reales
  • No realizar ataques de denegación de servicio (DoS/DDoS)
  • No acceder, modificar o eliminar datos de usuarios reales
  • Mantener la confidencialidad hasta que la vulnerabilidad sea corregida
  • Seguir prácticas de divulgación responsable

Hall of Fame

Reconocemos públicamente a los investigadores que han contribuido significativamente a la seguridad de nuestra plataforma (con su consentimiento).

Nota sobre Reportes Duplicados

Si reportas una vulnerabilidad que ya ha sido identificada por otro investigador:

  • Te informaremos que la vulnerabilidad ya ha sido reportada
  • No se otorgará recompensa por reportes duplicados
  • Si lo solicitas, podemos proporcionar la fecha del reporte original (manteniendo el anonimato del primer informante)
  • Te animamos a seguir participando en el programa buscando otras vulnerabilidades

Apreciamos todos los esfuerzos por mejorar la seguridad de Monitorator, incluso cuando no podamos ofrecer una recompensa monetaria por reportes duplicados o problemas fuera del alcance del programa.