programme public de recherche de bogues — Temporarily Closed
À compter du 23 octobre 2025, notre programme public de recherche de bogues est temporairement fermé en raison d’une demande écrasante et d’un volume important de rapports automatisés/de scanners.
Vous pouvez toujours soumettre des rapports de sécurité, mais ils seront traités uniquement à titre informatif et ne donneront pas droit à un paiement monétaire pendant la durée de la pause du programme.
Si vous pensez avoir un problème vérifié et urgent qui démontre la possibilité d’accéder à des données privées d’utilisateurs ou de les exfiltrer, veuillez nous envoyer un courriel à l’adresse suivante :
security@gowinston.ai.
Objectif
La priorité de Winston AI est de protéger les données des utilisateurs. Nous ne menons pas un programme promotionnel de bug bounty ; cette page explique le processus étroit et responsable pour rapporter des problèmes de sécurité réels et dans le champ d’application.
Champ d’application (dans le champ d’application)
- app.gowinston.ai (application de production)
- dev.gowinston.ai (environnement pour développeurs)
- api.gowinston.ai (API publique)
Hors champ d’application
- gowinston.ai (site de marketing public/informationnel) – les récompenses et les tests ne sont pas autorisés.
- toute ingénierie sociale, tout hameçonnage ou toute tentative visant notre personnel d’assistance ou des tiers.
Ne pas faire de rapport (informatif / non gratifiant) – nous faire gagner du temps à tous les deux
Pour que ce programme reste axé sur les problèmes à fort impact, veuillez ne pas soumettre de rapports sur les éléments ci-dessous, à moins qu’ils ne fassent manifestement partie d’un exploit conduisant à l’exfiltration de données privées d’utilisateurs. Les rapports qui ne présentent qu’un seul des éléments ci-dessous seront traités comme des rapports d’information et ne pourront pas faire l’objet d’un paiement.
Ne déclarez pas les éléments suivants (exemples) :
- Enumération de l’adresse électronique et du nom d’utilisateur (par exemple, différents messages d’erreur ou réponses indiquant si un compte existe).
- Les différences de synchronisation ou les canaux secondaires mineurs de synchronisation, à moins qu’ils ne soient liés à un PoC qui exfiltre des IIP.
- En-têtes de sécurité manquants ou mal configurés (Content-Security-Policy, X-Frame-Options, HSTS) lorsqu’ils ne permettent pas l’exfiltration de données.
- Problèmes mineurs d’interface utilisateur, détournement de clics nécessitant une interaction avec l’utilisateur, ou avertissements CSP non sécurisés n’entraînant pas l’exposition d’informations confidentielles.
- Informations déjà publiques ou accessibles via robots.txt, sitemap, ou API publiques exposant intentionnellement des données non sensibles.
- Les numéros de bibliothèque/version périmés ou les divulgations de version de logiciel uniquement (à moins que l’exploit ne démontre un vol de données).
- Sortie automatisée du scanner sans PoC vérifié par l’homme ni étapes de reproduction claires.
- Signalez les comportements de limitation du débit ou les tentatives de force brute, à moins qu’elles ne permettent la prise de contrôle d’un compte ou l’exportation de données.
- XSS à faible impact limité aux champs de prévisualisation contrôlés par l’utilisateur qui ne peuvent pas atteindre d’autres utilisateurs ou accéder à des données privées stockées.
- Attaques par déni de service (DoS) ou tentatives d’abus volumétrique – nous ne récompensons pas les tests DoS.
- Techniques d’ingénierie sociale, d’hameçonnage ou de ciblage du personnel. Ces techniques ne sont pas autorisées.
- Les vulnérabilités des services ou logiciels tiers que vous n’êtes pas autorisé à tester (signalez-les au fournisseur).
- Le bourrage d’identifiants / l’accès à un compte démontré uniquement par l’utilisation d’identifiants ayant fait l’objet d’une fuite sur d’autres sites ayant fait l’objet d’une brèche. Les rapports qui ne font état que d’un accès obtenu par la réutilisation d’informations d’identification (sans vulnérabilité distincte dans nos systèmes permettant cet accès) sont informatifs et ne peuvent faire l’objet d’un paiement.
- Demandes de conseils généraux en matière de sécurité, de services de pentesting ou de questions ne donnant pas lieu à une action (utilisez plutôt support@gowinston.ai ).
Si vous pensez qu’un problème d’information ci-dessus fait partie d’un exploit plus large : incluez un PoC vérifiable montrant comment ce problème est utilisé pour accéder ou exfiltrer des données privées d’utilisateurs (expurgées si nécessaire). Si vous ne pouvez pas fournir un PoC en toute sécurité, contactez security@gowinston.ai pour obtenir des conseils avant de poursuivre les tests.
Ce que nous payons
Nous envisagerons des récompenses discrétionnaires pour les vulnérabilités vérifiées qui démontrent la capacité d’exfiltrer des données privées d’utilisateurs à grande échelle ou de permettre une compromission côté serveur. Les données privées des utilisateurs comprennent les adresses électroniques, les mots de passe des comptes ou les jetons équivalents à des mots de passe, ainsi que le contenu téléchargé par les utilisateurs.
Règles d’éligibilité
- Les découvertes susceptibles d’être récompensées comprennent les vulnérabilités qui permettent :
- l’exportation en masse ou la collecte automatisée d’enregistrements d’utilisateurs (par exemple, une API non authentifiée ou mal protégée qui peut être programmée pour extraire de nombreux enregistrements) ;
- Exécution d’un code à distance côté serveur, exportation complète d’une base de données ou autre compromission du serveur pouvant être utilisée pour accéder aux données stockées de nombreux utilisateurs ; ou
- Toute vulnérabilité permettant de compromettre de manière automatisée et reproductible un grand nombre de comptes ou de fichiers.
- Non éligible à une récompense (traité comme une information) à moins que le rapporteur ne fournisse un PoC vérifiable prouvant l’évolutivité/l’automatisation :
- Les scénarios de prise de contrôle d’un seul compte qui n’affectent qu’un seul compte et ne montrent pas de voie vers l’automatisation ou la mise à l’échelle ;
- Les bogues isolés de la logique ou de l’interface utilisateur, les canaux secondaires de synchronisation ou les erreurs qui nécessitent une interaction avec l’utilisateur et ne peuvent pas être automatisés pour avoir un impact sur un grand nombre d’utilisateurs ;
- Les résultats des scanners ou les rapports non exploitables sans PoC vérifié par l’homme.
- Comptes accessibles uniquement par le biais d’un bourrage d’identifiants ou d’identifiants réutilisés à partir de brèches externes – à moins que le rapport ne démontre une vulnérabilité distincte côté serveur (par exemple, un point de terminaison qui laisse échapper des identifiants ou un contournement qui permet l’utilisation massive d’identifiants divulgués), ces rapports sont informatifs et ne sont pas éligibles pour un paiement.
Exigence de preuve d’impact
Pour être pris en considération pour un paiement, les rapports doivent inclure une expérience pratique vérifiable qui démontre de manière sûre l’impact (des captures d’écran ou des journaux expurgés sont acceptables). N’exfiltrez pas de données d’utilisateurs réels. Si vous ne pouvez pas fournir un PoC en toute sécurité, contactez security@gowinston.ai pour obtenir des conseils avant de poursuivre les tests.
Règles d’engagement / Tests de sécurité
- N’exfiltrez pas les données des utilisateurs réels. Faites la démonstration du concept en utilisant des preuves sûres et expurgées qui prouvent le problème sans exposer les utilisateurs.
- N’accédez pas, ne modifiez pas et ne supprimez pas le contenu des utilisateurs.
- Arrêtez les tests lorsque notre équipe de sécurité vous le demande.
- N’effectuez pas de déni de service, de test destructif ou d’ingénierie sociale.
Comment soumettre votre candidature
Envoyez un courriel à security@gowinston.ai avec :
- Bref résumé de la vulnérabilité
- Marche à suivre pour reproduire (PoC) ou lien vers un PoC enregistré (caviardé)
- Évaluation de l’impact (nombre approximatif d’utilisateurs/types de données concernés)
Comme nous recevons un très grand nombre de soumissions (beaucoup de doublons et de rapports de scanners automatiques), les accusés de réception et le triage peuvent être retardés. Nous accuserons réception de votre demande et vous indiquerons les prochaines étapes dès que possible.
Paiements et vérification
Les rapports validés peuvent faire l’objet d’un paiement discrétionnaire (jusqu’à 5 000 USD). Les montants des paiements sont déterminés en fonction de l’impact, de l’exploitabilité, des preuves fournies et de la complexité de la remédiation. Les montants finaux des récompenses sont à la discrétion de Winston AI et nécessitent un PoC vérifié et une validation réussie par notre équipe de sécurité. Nous nous réservons le droit de refuser ou de réduire le paiement en cas de rapports dupliqués, de PoC de faible qualité ou de comportement abusif.
Protection juridique et sphère de sécurité
Si vous respectez les règles d’engagement ci-dessus et agissez de bonne foi pour nous aider à sécuriser nos systèmes, nous n’engagerons pas de poursuites judiciaires pour vos tests. Nous nous réservons le droit de refuser la sphère de sécurité si les tests enfreignent nos règles ou la législation en vigueur.
Politique de lutte contre le harcèlement
Les demandes répétées non sollicitées, l’extorsion ou le harcèlement (y compris les demandes de paiement, les menaces ou la divulgation publique coordonnée pour faire pression sur le paiement) seront ignorés et peuvent être signalés. Ce programme existe pour traiter de manière responsable les rapports de sécurité légitimes – il ne s’agit pas d’un canal de revenus ou d’extorsion.
