Diretrizes do Programa de Divulgação Responsável Malwarebytes

Divulgação responsável ou não responsável

De acordo com a nossa experiência, (a) a divulgação pública de código de exploração de prova de conceito, (b) detalhes desnecessários para fazer entender ou (c) a divulgação de detalhes de vulnerabilidade antes da disponibilidade de uma correção representa uma divulgação não responsável que faz mais mal do que bem, uma vez que chama desnecessariamente a atenção para um problema de segurança. Por conseguinte, o programa CVD Malwarebytes só atribuirá prémios por bugs a informadores que sigam as diretrizes de divulgação responsável.

O que queremos dizer com "recompensa por insectos"?

Malwarebytes oferece prémios monetários para os bugs mais interessantes. O valor concedido para bugs interessantes depende da gravidade e da capacidade de exploração do bug. No entanto, Malwarebytes reserva-se o direito de aumentar esse valor de acordo com o caso. Além disso, os CVEs são atribuídos e listados em malwarebytes

Que obrigações de confidencialidade assumo ao apresentar uma proposta?

Se nos enviar uma submissão para este programa, está a concordar que nunca divulgará o código de exploração em funcionamento (incluindo binários desse código) para a vulnerabilidade aplicável a qualquer outra entidade até que a correção seja reconhecida, a menos que Malwarebytes torne esse código geralmente disponível ao público ou seja obrigado por lei a divulgá-lo. Isto não o impede de discutir a vulnerabilidade ou mostrar os efeitos da exploração no código.

Que tipos de vulnerabilidades são aceites pelo programa CVD?

Siga as diretrizes do programa HackerOne.

Última edição em 13 de agosto de 2025