Bug Bounty
Responsible Disclosure apenas. Qualquer exploração de vulnerabilidade fora do escopo deste programa será tratada como violação e reportada às autoridades competentes.
Programa de Divulgação Responsável
A BSPAY opera uma infraestrutura de pagamentos que processa transações PIX, cripto e transferências em ambiente de produção. A integridade desse sistema é uma responsabilidade que levamos a sério.
Acreditamos que pesquisadores de segurança contribuem diretamente para a construção de um ecossistema financeiro mais seguro. Por isso, mantemos este programa para reconhecer e recompensar quem identifica vulnerabilidades de forma ética e responsável.
Reportes válidos são analisados com prioridade e recompensados de forma proporcional à severidade e ao impacto demonstrado.
O que está no escopo
Alvos Principais
| Alvo | Descrição |
|---|---|
api.bspay.co | API principal — pagamentos, autenticação, webhooks |
dev.bspay.co | Documentação |
Classificação de Severidade
A severidade é avaliada com base no impacto real demonstrado, não apenas na categoria da vulnerabilidade. Um achado fora das listas abaixo ainda pode ser elegível — avaliamos cada reporte individualmente.
Crítico
- Bypass de autenticação OAuth — obter token sem credenciais válidas
- Execução remota de código (RCE) em qualquer endpoint ou serviço
- Escalação de privilégio que permita acesso a dados ou saldo de outro usuário
- Manipulação de transações — alterar valores, status ou destinatários
- Acesso não autorizado ao banco de dados com leitura/escrita de dados financeiros
- SSRF com acesso confirmado à rede interna ou a serviços internos
- Vazamento em massa de dados financeiros ou PII de usuários reais
- Comprometimento de chaves privadas ou segredos de sistema
Alto
- SQL Injection com impacto em dados financeiros ou de usuários
- Falha lógica que permita crédito indevido, saque duplicado ou bypass de limite
- IDOR que exponha dados de outros usuários (saldo, transações, documentos)
- Bypass de verificação de integridade em webhooks ou callbacks financeiros
- Falhas na implementação criptográfica com impacto em dados sensíveis
- Autenticação quebrada em fluxos de segundo fator
Médio
- IDOR em endpoints não financeiros com exposição de dados pessoais
- Bypass de rate limiting com impacto demonstrável em endpoints críticos
- CSRF em ações destrutivas ou financeiras
- Exposição de tokens, segredos ou credenciais em respostas de API ou logs
- Falha em validações de entrada que permita comportamento inesperado
- Open redirect encadeável com impacto real
- Injeção de cabeçalhos HTTP com impacto de segurança
Baixo / Informativo
- XSS com impacto demonstrável (não apenas
alert(1)) - Exposição de informações internas em mensagens de erro ou headers
- Misconfiguration com impacto de segurança limitado
- Falhas de validação com impacto restrito
Encontrou algo que não se encaixa em nenhuma categoria? Reporte assim mesmo. Se o impacto for real e demonstrável, avaliamos.
Fora do escopo
- Ataques de força bruta / credential stuffing sem bypass real
- Engenharia social (phishing, vishing)
- Ataques físicos ou de infra compartilhada
- Vulnerabilidades em serviços de terceiros que não controlamos
- Scanner automatizado sem PoC funcional
- Bugs de UI/UX sem impacto de segurança
- Rate limiting em endpoints não financeiros
- Versões desatualizadas de bibliotecas sem exploração demonstrável
Como Reportar
Envie seu reporte para [email protected] com:
- Descrição clara da vulnerabilidade
- Passos para reprodução — detalhados o suficiente para replicarmos
- Prova de conceito — screenshot, vídeo ou payload funcional
- Impacto estimado — o que um atacante poderia fazer com isso
- Ambiente — endpoint, método HTTP, parâmetros usados
Dica: Reportes com PoC funcional e avaliação de impacto clara são processados com prioridade e tendem a receber recompensas maiores.
O que esperar
| Etapa | Prazo |
|---|---|
| Confirmação de recebimento | até 48h |
| Triagem e validação inicial | até 5 dias úteis |
| Classificação de severidade | até 10 dias úteis |
| Resolução e recompensa | variável por criticidade |
Mantemos o pesquisador informado em cada etapa. Nenhum reporte válido fica sem resposta.
Regras de Engajamento
- Não acesse, modifique ou exfiltre dados reais de usuários
- Não execute ataques que impactem disponibilidade (DoS/DDoS)
- Não divulgue publicamente antes da correção e autorização nossa
- Não utilize a vulnerabilidade para benefício próprio
- Sim — use contas de teste sempre que possível
- Sim — documente tudo antes de parar o teste
Hall of Fame
Pesquisadores que contribuírem com achados válidos terão seus nomes publicados aqui, com autorização. Reconhecimento público faz parte do programa.
Nenhum nome ainda — seja o primeiro.
Programa privado por enquanto. Se você chegou até aqui, já está elegível para participar. Leia as regras, encontre algo real e entre em contato.