Directrices del programa de divulgación responsable de Malwarebytes

Divulgación responsable y no responsable

Según nuestra experiencia, (a) la divulgación pública de código de exploits de prueba de concepto, (b) los detalles innecesarios para dar a entender algo o (c) la divulgación de detalles sobre vulnerabilidades antes de que esté disponible una solución representan una divulgación no responsable que hace más mal que bien, ya que llama la atención innecesariamente sobre un problema de seguridad. Por lo tanto, el programa CVD de Malwarebytes sólo concederá recompensas por errores a los informadores que sigan las directrices de divulgación responsable.

¿Qué entendemos por Bug Bounty?

Malwarebytes ofrece recompensas en metálico por los fallos más interesantes. La cantidad concedida por los fallos interesantes depende de la gravedad del fallo y de su explotabilidad. Sin embargo, Malwarebytes se reserva el derecho de aumentar esta cantidad en función de cada caso. Además, se asignan y enumeran los CVE en malwarebytes

¿Qué obligaciones de confidencialidad asumo al presentar una solicitud?

Si nos envía una propuesta para este programa, se compromete a no revelar nunca el código del exploit (incluidos los binarios de dicho código) para la vulnerabilidad correspondiente a ninguna otra entidad hasta que se reconozca la corrección, a menos que Malwarebytes ponga dicho código a disposición del público en general o que la ley le obligue a revelarlo. Esto no le impide hablar sobre la vulnerabilidad o mostrar los efectos del exploit en el código.

¿Qué tipos de vulnerabilidades acepta el programa CVD?

Siga las directrices del programa HackerOne.

Última edición 13 de agosto de 2025