«Охота на баги» TradingView

Если вы обнаружили ошибку в системе безопасности и хотите сообщить нам об этом, напишите на security@tradingview.com.
Ниже приведены некоторые правила для тех, кто будет искать ошибки безопасности.

Не раскрывайте информацию об ошибке, пока не получите подтверждение от нас. Пожалуйста, будьте терпеливы, так как отчёты проверяются в течение двух недель, и нам нужно время, чтобы исправить ошибку(и).

Отчёт об ошибке должен содержать подробное описание обнаруженной уязвимости и шагов, которые необходимо предпринять, чтобы воспроизвести её или действующее подтверждение работоспособности концепции. Если вы не опишете уязвимость в деталях, может потребоваться много времени, чтобы проверить отчёт и/или может привести к отклонению вашего отчёта.

Ваше вознаграждение будет зависеть от обнаруженной уязвимости, а также от её влияния на безопасность. Мы не выплачиваем вознаграждение за обнаружение следующих уязвимостей:

• уязвимости в пользовательском ПО, или уязвимости, которые требуют полного доступа к ПО пользователя;
• уязвимости или ошибки в сторонних службах;
• уязвимости или старые версии стороннего ПО или протоколов, отсутствующую защиту, а также отклонение от современных методов, которое не влечёт угрозу безопасности;
• уязвимости без существенного воздействия на безопасность;
• уязвимости, которые требуют от пользователя выполнения нестандартных действий.

Для поиска уязвимостей вы не должны использовать автоматические инструменты и сканеры. Мы не будем рассматривать отчеты, сформированные сканером.

Вы не должны совершать какие-либо атаки, которые могут нанести ущерб нашим услугам или данным клиента. Атаки DDoS, спам и подбор методом грубой силы (brute force) запрещены.

Вы не должны привлекать других пользователей без их прямого согласия.

Вы не должны выполнять или пытаться выполнять атаки не технического характера, такие как социальная инженерия, фишинг или физическое воздействие на наших сотрудников, пользователей или инфраструктуру.