💸Modelo de Recompensas
Visão Geral
Na Bypassec, recompensamos os pesquisadores de segurança de forma justa e proporcional, refletindo a criticidade das vulnerabilidades encontradas. Nosso modelo é projetado para garantir que todos os esforços sejam devidamente reconhecidos e incentivados.
Validação das Vulnerabilidades
Ao final do Torneio, as vulnerabilidades serão validadas manualmente pela equipe da Bypassec, antes de terem seus status atualizados.
Relatórios incompletos ou que não contenham uma clara descrição e passos para reprodução, serão automaticamente invalidados e não estarão elegíveis para recompensa.
Da mesma forma, vulnerabilidades que não demonstrem impacto relevante para a organização serão consideradas inválidas.
Durante o processo de validação, a Bypassec poderá entrar em contato via e-mail ou discord com o pesquisador caso o relatório precise de mais informações.
O pesquisador terá 48h para responder antes que a vulnerabilidade seja invalidada.
Classificação de Criticidades
As criticidades utilizadas para classificar as vulnerabilidades podem ser:
Informativa
Baixa
Média
Alta
Crítica
A Bypassec utiliza como referência o CVSS Score 3.1 para realizar a classificação de criticidade das vulnerabilidades.
No entanto, é importante ressaltar que a criticidade pode variar com base no impacto da vulnerabilidade, relevância para a organização e/ou facilidade de exploração.
Distribuição do Fundo de Recompensas
Cada torneio na Bypassec possui um fundo de recompensas que será distribuído com base na criticidade das vulnerabilidades reportadas. Abaixo estão os detalhes da distribuição:
Criticidade Baixa
Se apenas vulnerabilidades de criticidade baixa forem reportadas:
Baixa
20%
Criticidade Média
Se vulnerabilidades de criticidade média forem reportadas:
Baixa
15%
Média
35%
Total
50%
Criticidade Alta ou Crítica
Se vulnerabilidades de criticidade alta ou crítica forem reportadas:
Sem Vulnerabilidades Críticas
Baixa
10%
Média
30%
Alta
60%
Total
100%
Com Vulnerabilidades Críticas
Baixa
5%
Média
20%
Alta
30%
Crítica
45%
Total
100%
Casos Especiais
Restituição do Fundo
Se o fundo de recompensas não for completamente utilizado (no caso de apenas vulnerabilidades de baixa ou média criticidade serem reportadas), parte do fundo restante será restituída à empresa anfitriã do torneio. Isso assegura que os recursos da empresa sejam utilizados de forma eficiente e justa.
Vulnerabilidades Duplicadas
Na Bypassec, vulnerabilidades duplicadas também serão recompensadas. Se uma vulnerabilidade for duplicada, a recompensa dela será dividida para todos os pesquisadores que a reportaram.
Por exemplo, vamos imaginar que foram enviados 4 relatórios: A, B, C e D:
A é uma vulnerabilidade única
B, C e D são a mesma vulnerabilidade
Neste caso, os 3 relatórios que são iguais dividirão a premiação. A distribuição ficaria da seguinte forma:
A
R$ X
B
R$ X / 3
C
R$ X / 3
D
R$ X / 3
Este modelo de recompensas garante que todos os pesquisadores que contribuírem para a segurança da aplicação sejam reconhecidos, mesmo quando reportarem vulnerabilidades duplicadas.
Pontuações
Para cada vulnerabilidade válida reportada, o pesquisador receberá junto uma pontuação. Essa pontuação será utilizada para determinar a posição do pesquisador no ranking global da Bypassec e definirá sua performance.
Distribuição de Pontos
As pontuações serão distribuídas com base na criticidade e singularidade da vulnerabilidade encontrada.
Baixa
10
5
Média
20
10
Alta
30
20
Crítica
40
30
Por que ganhar pontuações?
As pontuações são métricas utilizadas pela Bypassec para definir os principais pesquisadores da plataforma. Estes pesquisadores terão oportunidades de receber vantagens e recompensas exclusivas, como por exemplo:
Convites para torneios privados
Convites para entrevistas de emprego
Brindes da Bypassec
Bônus de recompensas
Descontos em mentorias e cursos de parceiros da Bypassec
Atualizado