Diretrizes do Programa de Divulgação Responsável Malwarebytes

Divulgação responsável versus não responsável

De acordo com a nossa experiência, (a) a divulgação pública de código de exploração de prova de conceito, (b) detalhes desnecessários para transmitir o ponto de vista ou (c) a liberação de detalhes de vulnerabilidade antes da disponibilidade de uma correção representa uma divulgação não responsável que causa mais danos do que benefícios, pois traz atenção desnecessária a um problema de segurança. Portanto, o programa CVD Malwarebytes só concederá recompensas por bugs aos informantes que seguirem as diretrizes de divulgação responsável.

O que queremos dizer com Bug Bounty?

Malwarebytes oferece prêmios em dinheiro para os bugs mais interessantes. O valor concedido para bugs interessantes depende da gravidade e da capacidade de exploração do bug. No entanto, Malwarebytes se reserva o direito de aumentar esse valor de acordo com o caso. Além disso, os CVEs são atribuídos e listados em malwarebytes

Quais são as obrigações de confidencialidade que assumo ao fazer um envio?

Se você nos enviar um envio para este programa, estará concordando que nunca divulgará o código de exploração em funcionamento (incluindo binários desse código) para a vulnerabilidade aplicável a qualquer outra entidade até que a correção seja reconhecida, a menos que Malwarebytes torne esse código geralmente disponível ao público ou que você seja obrigado por lei a divulgá-lo. Isso não impede que você discuta a vulnerabilidade ou mostre os efeitos da exploração no código.

Que tipos de vulnerabilidades são aceitos pelo programa CVD?

Siga as diretrizes do programa HackerOne.

Última edição em 13 de agosto de 2025