Divulgação responsável / Política de divulgação de vulnerabilidades

Programa de recompensa por bugs – Temporariamente fechado

A partir de 23 de outubro de 2025, nosso programa público de recompensa por bugs será temporariamente encerrado devido à grande demanda e a um grande volume de relatórios automatizados/de scanners. Você ainda pode enviar relatórios de segurança, mas eles serão tratados apenas como informativos e não serão elegíveis para pagamento monetário enquanto o programa estiver pausado. Se você acredita que tem um problema verificado e urgente que demonstra a capacidade de acessar ou exfiltrar dados privados de usuários, envie-nos um e-mail para security@gowinston.ai.

Finalidade

A prioridade da Winston AI é proteger os dados do usuário. Não estamos executando um programa promocional de recompensa por bugs; esta página explica o processo restrito e responsável para relatar problemas de segurança reais e dentro do escopo.

Escopo (dentro do escopo)

  • app.gowinston.ai (aplicativo de produção)
  • dev.gowinston.ai (ambiente de desenvolvimento)
  • api.gowinston.ai (API pública)

Fora do escopo

  • gowinston.ai (site de marketing público/informacional) – não são permitidas recompensas ou testes.
  • Qualquer engenharia social, phishing ou tentativas que visem nossa equipe de suporte ou terceiros.

Não faça denúncias (informativas/não recompensáveis) – poupe o tempo de ambos

Para manter o foco deste programa em problemas de alto impacto, não envie relatórios sobre os itens abaixo, a menos que eles sejam comprovadamente parte de uma exploração que leve à exfiltração de dados privados do usuário. Os relatórios que apresentarem apenas um dos itens abaixo serão tratados como informativos e o serão elegíveis para pagamento.

Não informe o seguinte (exemplos):

  • Enumeração de e-mail/nome de usuário (por exemplo, diferentes mensagens de erro ou respostas que revelam se uma conta existe).
  • Diferenças de tempo ou canais laterais de tempo menores, a menos que estejam vinculados a um PoC que exfiltra PII.
  • Cabeçalhos de segurança ausentes ou mal configurados (Content-Security-Policy, X-Frame-Options, HSTS) quando não permitem a exfiltração de dados.
  • Pequenos problemas de interface do usuário, clickjacking que exige interação do usuário ou avisos de CSP inseguros que não levam à exposição de PII.
  • Informações que já são públicas ou acessíveis via robots.txt, mapa do site ou APIs públicas que expõem intencionalmente dados não confidenciais.
  • Apenas números de biblioteca/versão desatualizados ou divulgações de versão de software (a menos que a exploração demonstre roubo de dados).
  • Saída automatizada do scanner sem PoC verificado por humanos ou etapas claras de reprodução.
  • Relatórios de comportamento de limitação de taxa ou tentativas de força bruta, a menos que eles permitam a aquisição de contas ou a exportação de dados.
  • XSS de baixo impacto confinado a campos de visualização controlados pelo usuário que não podem alcançar outros usuários ou acessar dados privados armazenados.
  • Ataques de negação de serviço (DoS) ou tentativas de abuso volumétrico – não recompensamos testes de DoS.
  • Engenharia social, phishing ou técnicas de direcionamento de pessoal. Isso não é permitido.
  • Vulnerabilidades em serviços ou software de terceiros que você não tem permissão para testar (informe isso ao fornecedor).
  • Credential stuffing/acesso à conta demonstrado exclusivamente pelo uso de credenciais vazadas de outros sites violados. Os relatórios que mostram apenas o acesso obtido por credenciais reutilizadas (sem uma vulnerabilidade distinta em nossos sistemas que permita esse acesso) são informativos e não se qualificam para pagamento.
  • Solicitações de consultoria geral de segurança, serviços de pentesting ou perguntas não acionáveis (em vez disso, use support@gowinston.ai ).

Se você acha que um problema informativo acima faz parte de uma exploração maior: inclua um PoC verificável mostrando como esse problema é usado para acessar ou exfiltrar dados privados do usuário (redigidos, se necessário). Se você não puder fornecer um PoC com segurança, entre em contato com security@gowinston.ai para obter orientação antes de prosseguir com os testes.

Pelo que pagamos

Consideraremos recompensas discricionárias para vulnerabilidades verificadas que demonstrem a capacidade de exfiltrar dados privados de usuários em escala ou permitir o comprometimento do lado do servidor. Os dados privados do usuário incluem endereços de e-mail, senhas de contas ou tokens equivalentes a senhas e conteúdo carregado do usuário.

Regras de elegibilidade

  • As descobertas elegíveis para recompensa incluem vulnerabilidades que permitem:
    • Exportação em massa ou coleta automatizada de registros de usuários (por exemplo, uma API não autenticada ou mal protegida que pode ser programada para extrair muitos registros);
    • Execução de código remoto no lado do servidor, exportação completa do banco de dados ou outro comprometimento do servidor que pode ser usado para acessar dados armazenados do usuário para muitos usuários; ou
    • Qualquer vulnerabilidade que comprovadamente permita o comprometimento automatizado e repetível de um grande número de contas ou arquivos.
  • Não é elegível para recompensa (tratado como informativo) , a menos que o relator forneça um PoC verificável que comprove a escalabilidade/automação:
    • Cenários de aquisição de conta única que afetam apenas uma conta e não mostram um caminho para automatizar ou dimensionar;
    • Bugs isolados de lógica/UI, canais laterais de tempo ou erros que exigem interação do usuário e não podem ser automatizados para afetar muitos usuários;
    • Saída do scanner ou relatórios não acionáveis sem PoC verificado por humanos.
    • Contas acessadas exclusivamente por meio de credential stuffing ou credenciais reutilizadas de violações externas – a menos que o relatório demonstre uma vulnerabilidade separada no lado do servidor (por exemplo, um endpoint que vaza credenciais ou um desvio que permite o uso em massa de credenciais vazadas), esses relatórios são informativos e não são elegíveis para pagamento.

Requisito de prova de impacto

Para serem considerados para pagamento, os relatórios devem incluir um PoC verificável que demonstre com segurança o impacto (capturas de tela ou registros redigidos são aceitáveis). Não exfiltrar dados reais do usuário. Se você não puder fornecer um PoC com segurança, entre em contato com security@gowinston.ai para obter orientação antes de prosseguir com o teste.

Regras de engajamento / Testes seguros

  • Não exfiltrar dados reais do usuário. Demonstre a prova de conceito usando evidências seguras e editadas que comprovem o problema sem expor os usuários.
  • Não acesse, modifique ou exclua o conteúdo do usuário.
  • Interrompa os testes quando solicitado por nossa equipe de segurança.
  • Não realize negação de serviço, testes destrutivos ou engenharia social.

Como enviar

E-mail security@gowinston.ai com:

  • Breve resumo do problema
  • Etapas para reproduzir (PoC) ou um link para um PoC registrado (redigido)
  • Avaliação do impacto (número aproximado de usuários/tipos de dados afetados)

Como recebemos um volume muito grande de envios (muitas duplicatas e relatórios de scanners automatizados), as confirmações e a triagem podem sofrer atrasos. Confirmaremos o recebimento e forneceremos as próximas etapas assim que possível. Importante: se um relatório de qualificação para a mesma vulnerabilidade tiver sido enviado para nós antes do seu envio, os relatórios duplicados subsequentes serão tratados como informativos e não serão elegíveis para pagamento. Para evitar atrasos, inclua um PoC claro e verificável e não envie novamente o mesmo problema.

Pagamentos e verificação

Os relatórios validados são elegíveis para pagamento discricionário (até US$ 5.000). Os valores dos pagamentos são determinados pelo impacto, capacidade de exploração, evidências fornecidas e complexidade da correção. Os valores finais da recompensa ficam a critério da Winston AI e exigem um PoC verificado e uma validação bem-sucedida pela nossa equipe de segurança. Nós nos reservamos o direito de recusar ou reduzir o pagamento de relatórios duplicados, PoCs de baixa qualidade ou comportamento abusivo.

Legal e porto seguro

Se você seguir as Regras de Compromisso acima e agir de boa-fé para nos ajudar a proteger nossos sistemas, não tomaremos medidas legais em relação aos seus testes. Reservamo-nos o direito de recusar o safe-harbor se os testes violarem nossas regras ou a legislação aplicável.

Política antiassédio

Solicitações não solicitadas, extorsão ou assédio repetidos (incluindo exigências de pagamento, ameaças ou divulgação pública coordenada para pressionar o pagamento) serão ignorados e poderão ser denunciados. Este programa existe para lidar de forma responsável com denúncias de segurança legítimas – não é um canal de receita ou de extorsão.

Contato

security@gowinston.ai