a) Primero, debes completar el formulario de inscripción disponible en https://app.cyscope.io/signup/hacker
b) Luego, recibirás un correo con instrucciones para firmar el acuerdo legal y de confidencialidad en una plataforma especializada de firma digital.
c) Además, deberás enviar el certificado de antecedentes penales de tu país de residencia a [email protected].
d) Una vez recibidos ambos documentos, CyScope iniciará un proceso de investigación y verificación del postulante (background check) que podrá durar entre cinco (5) y diez (10) días hábiles. Después de este proceso, si fuiste aprobado, recibirás un e-mail de confirmación y serás invitado a los programas públicos o privados de Bug Bounty que mejor se ajusten a tu perfil.
a) Dentro de nuestra plataforma existen programas públicos y privados: un programa público está dirigido a toda la comunidad de hackers de CyScope; un programa privado está reservado a un grupo de hackers preseleccionados por su perfil, experiencia u otros parámetros definidos por el cliente.
b) Estos programas pueden considerarse en la categoría de programas de Bug Bounty, como también de Pentest-as-a-Service (PTaaS) .
Los tipos de vulnerabilidades que pueden ser recompensadas varían según cada programa y el tipo de activo a evaluar. Algunos programas buscan vulnerabilidades específicas, por lo que te invitamos a leer cuidadosamente la descripción de cada programa.
a) Un informe de vulnerabilidad debe ser detallado y de calidad, para permitir al equipo de Triage y al cliente replicar el hallazgo de principio a fin. En la sección de «Paso a paso» de un reporte tendrás la opción de subir textos, imágenes y/o videos.
b) La consideración para un reporte completo es que la documentación del «Paso a paso» permita reproducir el hallazgo sin que queden dudas.
c) Una buena descripción de la vulnerabilidad y del impacto que esta podría generar en el negocio, así como contramedidas claras y precisas para que la empresa afectada pueda aplicar las mitigaciones correspondientes.
d) Cada programa puede tener sus requisitos particulares, por lo que te recomendamos leer detalladamente la descripción de los programas.
e) Para mayor información dirigirse a https://cyscope.io/disclosure-policy/
Trabajamos con un tiempo promedio de respuesta de diez (10) a quince (15) días hábiles para revisar, reproducir, clasificar y validar un reporte. Este plazo incluye un periodo de cuarentena y revisión en conjunto con el cliente.
a) Los informes duplicados se marcan como tal, pero aún generan un puntaje para el hacker. No queremos desmotivar a los hackers de reportar vulnerabilidades en CyScope.
b) El proceso para revisar reportes duplicados se basa en buscar los targets / URL / endpoints afectados y su vulnerabilidad. En caso de encontrar una coincidencia, se notificará la fecha en la cual se reportó originalmente la vulnerabilidad.
c) Hay programas que contienen políticas específicas acerca de reportes duplicados, algunos más estrictos que otros, por lo que te invitamos a revisar esto en la descripción de cada programa.
a) Los informes son revisados por el equipo de Triage y el cliente. La información ingresada sólo será visualizada por los actores directos. Por ello, sugerimos no incluir información sensible, solo datos que estés dispuesto a compartir; por ejemplo, si hay sospechas del origen de cuentas utilizadas en caso de que el programa no proporcione credenciales, pediremos que se aclare su origen y posiblemente buscaremos validar la cuenta.
b) Al inscribirte en la plataforma, deberás firmar un acuerdo legal y de confidencialidad que busca resguardar a todas las partes involucradas. Te invitamos a leerlo detalladamente en el proceso de inscripción. Además, recomendamos tener conocimiento de los fundamentos de las leyes de delitos informáticos.
c) Para mayor información dirigirse a https://cyscope.io/confidentiality-agreement/
a) No, la información obtenida de los reportes no puede ser divulgada públicamente. Sin embargo, eres bienvenido a compartir tu participación y los logros de las recompensas obtenidas, tomando la precaución de ocultar cualquier información sensible que haga referencias al equipo de CyScope, al nombre del programa o al cliente.
b)Para mayor información dirigirse a https://cyscope.io/disclosure-policy/
a) El monto de recompensas por nivel, es definido por el cliente, y puede variar entre programas y clientes.
b) Las recompensas se calculan evaluando la severidad técnica y el impacto en el negocio. Esto se realiza en colaboración con el cliente para analizar cada caso en particular. Utilizamos el sistema de puntuación CVSS para definir las grillas de bajo, medio, alto y crítico, pero no hay que olvidarse que esto va acompañado de una revisión conjunta con el cliente, para evaluar el impacto de la vulnerabilidad.
a) Si eres participante con ciudadanía chilena y RUT vigente, el pago se realiza mediante transferencia bancaria, posterior a la generación de una Boleta de Honorarios en el Servicio de Impuestos Internos (SII).
b) Si eres participante de otro país, el método de pago es mediante PayPal.
c) Para recibir tus recompensas, es necesario que mantengas tu perfil, datos bancarios, ID personal, documentación tributaria y declaración jurada al día. Esto será solicitado por el área administrativa de CyScope.
d)El pago de las recompensas se encuentra sujeto a impuestos. Ten en cuenta que los impuestos serán deducidos del monto total de la factura. El porcentaje de impuesto aplicado dependerá del país de origen del destinatario.
e) Para mayor información relacionada con métodos de pago, puedes visitar la sección de impuestos y gastos de transferencia en https://cyscope.io/terms-and-conditions/.
a) Puedes escribirnos a nuestro correo [email protected]. Un miembro del equipo te responderá a la brevedad.
b) Para dudas y comentarios respecto a un reporte, el medio de comunicación oficial es la zona de chat o comentarios que tenemos en cada reporte en particular.
c) Para casos más específicos, podría ser que un integrante del equipo se contacte directamente contigo. El dominio de la dirección de correo utilizado será @cyscope.io.
a) Puedes participar con un seudónimo/nickname en la plataforma. Recomendamos usar un nickname ya que, al tratar con los clientes, siempre nos referimos a los usuarios por su nickname. Sin embargo, para la postulación y el pago de recompensas es necesario conocer la identidad real del participante.
b)Los clientes solo tendrán conocimiento de tu nickname y datos que hayas agregado a los clientes. Hay ocasiones en que el cliente pueda generar programas especiales y privados en los que pida información personal, pero en caso de ser invitado, notificaremos los datos que pida el cliente, para conocer tu disposición en compartir esta información.
Sí, en CyScope tenemos un ranking interno para destacar a los bug hunters más activos y exitosos. Los puntos se asignan según la severidad de las vulnerabilidades reportadas: baja, media, alta y crítica, además de considerarse reportes duplicados y otras categorías. Los detalles completos sobre el cálculo de puntajes y las reglas del ranking están disponibles en nuestra sección de reglas y puntuaciones en la web.