Frequently Asked Questions

YesWeHack conecta individuos con talento con organizaciones o proyectos que necesiten seguridad IS.

La primera plataforma europea de bug bounty que confía en la reglamentación económica europea, sus principios y legislación.

Bounty Factory te ayuda a crear un Bug Bounty Program (BBP), también conocido como un Vulnerability Reward Program (VRP). Un BBP es una iniciativa de crowdsourcing competitivo que recompensa a los individuos por encontrar errores en el código (softwares, páginas web,etc.).

YES WE HACK RESEARCHERS ayuda a los desarrolladores a hacer seguro su código antes de hacerlo público. Generalmente, se trata de una estrategia preventiva de seguridad.

Un programa "Bug Bounty" es un programa de escaneado de vulnerabilidades que recompensa a los investigadores que encuentren fallos de seguridad en el cuadro definido por el programa bug bounty y su perímetro (alcance). Estas vulnerabilidades se pueden recompensar económicamente o de otros modos (bounty).

Para ayudarte a crear tu Bug Bounty Program, puedes usar nuestro Bug Bounty Program Rules Generator.

Un programa bug bounty puede testear la seguridad de un perímetro definido (ámbito) debido a los usuarios que deseen probar su pericia encontrando grietas. El objetivo es usar una comunidad de hackers éticos para fortalecer tu seguridad constantemente y detectar las vulnerabilidades antes de que sean explotadas por hackers menos éticos.

El proceso es innovador y lista whitehat hackers (HUNTERS) y entusiastas de la seguridad en IT de cualquier lugar del planeta.

Un programa Bug Bounty contiene las reglas que el hunter (cazador) deberá adoptar a fin de contribuir y poner a prueba las vulnerabilidades.

Debemos al menos encontrar aquí el perímetro (alcance), las reglas de elegibilidad de las vulnerabilidades así como las no-disponibles.

Puedes encontrar ejemplos de programas bug bounty en nuestro agregador bug bounty : firebounty.com.

Un programa bug bounty privado sólo está disponible para los Hunters que hayan recibido una invitación para participar en él. En el caso del público, éste es accesible para toda la comunidad de Yes We Hack.

Un hunter es un investigador o entusiasta de la seguridad IT.

Enviar el proceso de explotación de la vulnerabilidad que has encontrado, detallando el impacto en el programa. Adjuntar capturas de pantalla y pruebas de concepto será un plus para un mejor trato del informe.

Como Hunter, escribir el informe de vulnerabilidad es importante. Este permitirá al representante validar rápidamente tu fallo. Dependiendo de la calidad del informe ganarás puntos style.

Durante el programa bug bounty, los hunters están buscando diferentes tipos de vulnerabilidades. Estos informes deben ser evaluados por su claridad y criticidad para el perímetro.

La cantidad de recompensas lo elige el representante, pero es habitual que se recompense a un investigador si el informe ha impuesto un cambio en la aplicación del código.

Una vez que el programa inició en privado o en público, que va a clasificar y calificar los informes de vulnerabilidad, premios y finalmente corregir el defecto. Para estar seguro de que amo la carga de trabajo de su programa de recompensas de errores, por favor visite nuestro Program Manager

Los hunters se comprometen a cumplir la normativa de difusión del programa bug bounty desde el momento en que aceptan los términos y condiciones de bountyfactory.io y durante su inscripción al programa. Una vulnerabilidad fuera del perímetro no será recompensada y el hunter perderá sus puntos.

Una vulnerabilidad se considera aceptada cuando ha sido testeada y reproducida por el representante y, cuando cumple con todas las reglas listadas en el programa bug bounty.

En este caso, la vulnerabilidad es recompensada de forma acorde con las reglas definidas en el programa bug bounty.

Un "duplicado" es una vulnerabilidad que ya ha sido enviada previamente al programa. Esta no puede ser considerada como válida y, por tanto, no será recompensada. Por el contrario, el hunter sigue ganando un punto.

La mínima recompensa es la recompensa mínima indicada en el programa que será entregada al hunter cuando un informe de vulnerabilidad haya sido validado (y éste no sea duplicado).

No hay un máximo de recompensas. La cantidad es a elección del representante.

Bug duplicado 1 punto
Bug fuera de perímetro -3 puntos
Bug validado y aceptado 7 puntos

Cada recompensa da puntos de la siguiente forma:

Entre 1 y 500€ 15 puntos
Entre 501 y 2000€ 25 puntos
Más de 2000€ 50 puntos

Un bonus entre 0 y 5 puntos puede ser concedido por el programa en función de la calidad del informe y las técnicas empleadas.