💸Modelo de Recompensas

Visão Geral

Na Bypassec, recompensamos os pesquisadores de segurança de forma justa e proporcional, refletindo a criticidade das vulnerabilidades encontradas. Nosso modelo é projetado para garantir que todos os esforços sejam devidamente reconhecidos e incentivados.

Validação das Vulnerabilidades

Ao final do Torneio, as vulnerabilidades serão validadas manualmente pela equipe da Bypassec, antes de terem seus status atualizados.

Relatórios incompletos ou que não contenham uma clara descrição e passos para reprodução, serão automaticamente invalidados e não estarão elegíveis para recompensa.

Da mesma forma, vulnerabilidades que não demonstrem impacto relevante para a organização serão consideradas inválidas.

Durante o processo de validação, a Bypassec poderá entrar em contato via e-mail ou discord com o pesquisador caso o relatório precise de mais informações.

O pesquisador terá 48h para responder antes que a vulnerabilidade seja invalidada.

Classificação de Criticidades

As criticidades utilizadas para classificar as vulnerabilidades podem ser:

  • Informativa

  • Baixa

  • Média

  • Alta

  • Crítica

A Bypassec utiliza como referência o CVSS Score 3.1 para realizar a classificação de criticidade das vulnerabilidades.

No entanto, é importante ressaltar que a criticidade pode variar com base no impacto da vulnerabilidade, relevância para a organização e/ou facilidade de exploração.

Em caso de conflitos entre o modelo de classificação e a política do torneio, a política do torneio deverá prevalecer.

Distribuição do Fundo de Recompensas

Cada torneio na Bypassec possui um fundo de recompensas que será distribuído com base na criticidade das vulnerabilidades reportadas. Abaixo estão os detalhes da distribuição:

Criticidade Baixa

Se apenas vulnerabilidades de criticidade baixa forem reportadas:

Criticidade Média

Se vulnerabilidades de criticidade média forem reportadas:

Criticidade Alta ou Crítica

Se vulnerabilidades de criticidade alta ou crítica forem reportadas:

Sem Vulnerabilidades Críticas

Com Vulnerabilidades Críticas

Casos Especiais

No caso de alguma criticidade da tabela não ter sido reportada, o percentual do fundo será incrementado com o percentual da vulnerabilidade de maior criticidade.

Por exemplo, caso apenas uma vulnerabilidade média seja reportada, ela receberá 50% do fundo.

Restituição do Fundo

Se o fundo de recompensas não for completamente utilizado (no caso de apenas vulnerabilidades de baixa ou média criticidade serem reportadas), parte do fundo restante será restituída à empresa anfitriã do torneio. Isso assegura que os recursos da empresa sejam utilizados de forma eficiente e justa.

Vulnerabilidades Duplicadas

Na Bypassec, vulnerabilidades duplicadas também serão recompensadas. Por exemplo, se houver três vulnerabilidades A, B e C de mesma criticidade, e A for duplicada de B, a distribuição da recompensa seria:

Este modelo de recompensas garante que todos os pesquisadores que contribuírem para a segurança da aplicação sejam reconhecidos, mesmo quando reportarem vulnerabilidades semelhantes.

Atualizado