Directrices del programa de divulgación responsable de Malwarebytes

Divulgación responsable y no responsable

Según nuestra experiencia, (a) la divulgación pública de código de exploits de prueba de concepto, (b) los detalles innecesarios para dar a entender algo o (c) la divulgación de detalles sobre vulnerabilidades antes de que esté disponible una solución representan una divulgación no responsable que hace más mal que bien, ya que llama la atención innecesariamente sobre un problema de seguridad. Por lo tanto, el programa CVD de Malwarebytes sólo concederá recompensas por errores a los informadores que sigan las directrices de divulgación responsable.

¿Qué entendemos por Bug Bounty?

Malwarebytes recompensas en efectivo por los errores más interesantes. La cantidad otorgada por los errores interesantes depende de la gravedad y la explotabilidad del error. Sin embargo, Malwarebytes el derecho de aumentar esta cantidad según cada caso. Además, los CVE se asignan y enumeran en malwarebytes.

¿Qué obligaciones de confidencialidad asumo al presentar una solicitud?

Si nos envía una propuesta para este programa, se compromete a no revelar nunca el código del exploit (incluidos los binarios de dicho código) para la vulnerabilidad correspondiente a ninguna otra entidad hasta que se reconozca la corrección, a menos que Malwarebytes ponga dicho código a disposición del público en general o que la ley le obligue a revelarlo. Esto no le impide hablar sobre la vulnerabilidad o mostrar los efectos del exploit en el código.

¿Qué tipos de vulnerabilidades acepta el programa CVD?

Siga las directrices del programa HackerOne.

Última edición 13 de agosto de 2025