Programa Bug Bounty
Ayúdanos a mantener Venice seguro. Recompensamos a los investigadores de seguridad que divulgan responsablemente vulnerabilidades en nuestros productos.
Cómo Funciona el Programa
Nuestro programa de bug bounty proporciona una forma estructurada para que los investigadores de seguridad reporten vulnerabilidades y obtengan recompensas.
Descubrir
Encuentra una vulnerabilidad de seguridad en un producto Venice dentro del alcance.
Documentar
Crea un reporte detallado con prueba de concepto y pasos de reproducción.
Reportar
Envía tus hallazgos a través de nuestro formulario seguro.
Recompensa
Las recompensas elegibles se pagan en VVV y/o USDC a discreción de Venice.
Recompensas
Las recompensas elegibles se pagan en VVV y/o USDC a discreción de Venice. Los montos a continuación están denominados en VVV; Venice puede pagar el monto equivalente en USDC. Las recompensas se determinan según impacto demostrado, explotabilidad, novedad, reproducibilidad y calidad del reporte.
Problemas de seguridad menores pero reales, con reproducción clara, como divulgación limitada de información o brechas de configuración de bajo riesgo con impacto demostrado.
Vulnerabilidades contenidas con impacto demostrado, como XSS almacenado limitado, brechas estrechas de autorización o rutas de abuso que afectan a pocos usuarios.
Vulnerabilidades significativas que afectan seguridad de cuentas, límites de autorización, integridad de facturación o datos de usuarios.
Vulnerabilidades graves y novedosas con amplio impacto en usuarios, como bypass de autenticación, ejecución remota de código, exposición de datos sensibles a escala o compromiso de smart contracts de VVV.
Alcance del Programa
Por favor revisa qué está y qué no está cubierto por este programa antes de enviar.
Dentro del Alcance
- Aplicación web Venice (venice.ai)
- API de Venice (api.venice.ai)
- Aplicación Android de Venice, aplicación iOS y APK oficial
- Autenticación y gestión de sesiones
- Flujos de pago y facturación
- Manejo de datos de usuario y controles de privacidad
- Cifrado de chat y conversaciones
Fuera del Alcance
- Ataques de ingeniería social o phishing
- Ataques de denegación de servicio (DoS/DDoS)
- Problemas de terceros o proveedores salvo que sean causados por la integración o configuración de Venice
- Problemas que requieren acceso físico
- Escaneo automatizado sin validación
- Reportes de spam, abuso o reputación sin una vulnerabilidad de seguridad
- Reportes de encabezados de seguridad, DNS, SPF, DMARC, CAA o divulgación de versión sin explotabilidad o impacto en usuarios demostrado
- Reportes teóricos de limitación de velocidad o fuerza bruta sin impacto demostrado
Requisitos del Reporte
Todos los reportes deben incluir una prueba de concepto clara, pasos exactos de reproducción y una descripción del impacto de seguridad.
Prueba de Concepto
Demuestra la explotación real con video, capturas de pantalla o pasos exactos de reproducción. Se aplican excepciones para problemas evidentes como problemas de certificados.
Específico a Nuestro Entorno
Muestra que la vulnerabilidad existe en nuestra aplicación real, no en escenarios teóricos. La salida genérica de escáneres sin validación no es elegible para recompensas.
Basado en Tus Pruebas
Los reportes asistidos por IA son aceptables solo si están personalmente validados y son reproducibles. Los reportes generados por IA sin verificación serán rechazados.
Preguntas Frecuentes
Ayuda a Mantener Venice Seguro
¿Encontraste una vulnerabilidad? Envía tu reporte y ayúdanos a proteger a nuestros usuarios. Las recompensas elegibles se pagan en VVV y/o USDC a discreción de Venice.