Abrir la app
Seguridad

Divulgación responsable, bien hecho.

Si encuentras una vulnerabilidad en NoKYCSwap, dínoslo. Divulgación coordinada a noventa días, sin acciones legales contra investigación de buena fe, crédito público a petición. Esta página detalla los términos exactos.

Reporte
[email protected] security.txt
ACUSE DE RECIBO: < 48h · SLA de corrección: 14 – 90d · PGP: a pedido
Cronograma de divulgación

Desde el reporte hasta crédito público

1
Día 0

Reporte

Escribe a [email protected] con un resumen breve y una prueba de concepto. Clave PGP disponible a petición. Acusamos recibo en un plazo de 48 horas.

2
Día 1 – 90

Triaje y corrección

Reproducimos, puntuamos y desplegamos una corrección. Para severidades superiores a media, apuntamos a desplegar la corrección en 14 días; para severidad baja, en 90. Recibes una actualización de estado como mínimo cada 14 días.

3
Día 90+

Divulgación pública

Tras el despliegue de la corrección y cuando los usuarios hayan tenido tiempo de adoptarla, publicamos una nota breve y te damos crédito por nombre o handle — salvo que prefieras lo contrario. Sólo divulgación coordinada. Sin embargos sorpresa.

Alcance

Lo que queremos que para probar

Dentro del alcance

Para probar

  • El frontend web nokycswap.io y cualquier subdominio que operemos (api., etc.).
  • Rutas de código del lado servidor alcanzables desde la superficie de producción.
  • Problemas del lado cliente con impacto demostrable (XSS, bypass CSRF, DOM clobbering que filtra estado).
  • Debilidades criptográficas en nuestro firmado / CSRF / gestión de sesiones.
  • Configuraciones erróneas visibles por HTTP(S): bypass de CSP, huecos en HSTS/preload, permisividad CORS, cadenas de inyección de cabeceras.
  • Fallos lógicos que permiten a un usuario leer o manipular el estado del pedido de otro.
Fuera del alcance

No elegible y se cerrará

  • Denegación de servicio, agotamiento de recursos, bypass de límite de tasa sin impacto secundario.
  • Tab-nabbing, clickjacking sin impacto de seguridad, cabeceras de seguridad ausentes en activos estáticos.
  • Problemas que requieren un atacante dentro del navegador del usuario (extensiones maliciosas, malware local).
  • Suplantación de cabeceras From en emails que no controlamos.
  • Activos de terceros (Cloudflare, fonts.bunny.net, ff.io) — reportar upstream.
  • Self-XSS, redressing de UI en el que un usuario razonable no caería.
  • Sugerencias de buenas prácticas sin impacto demostrable.
Puerto seguro

Nuestros compromisos a investigadores

Sin acciones legales

Frente a investigación de buena fe que se mantenga dentro del alcance, evite pruebas destructivas y respete la privacidad del usuario. No contactaremos a tu empleador, tu proveedor de hosting ni a las autoridades sobre tu reporte.

Sin baneos automatizados

El testing activo (escáneres autorizados, sondeo manual) no activará bloqueo de cuenta — no tenemos cuentas. Se aplican límites de tasa por IP; avísanos y añadiremos tu origen a la lista blanca.

Crédito a petición

Publicamos un breve agradecimiento en las notas de versión y en esta página tras desplegar la corrección. ¿Quieres mantenerte pseudónimo o anónimo? Dilo en el reporte.

Recompensa con trato honesto

Aún no operamos un programa de bounty remunerado. Agradecemos reportes sustantivos con merch, créditos de testnet y crédito público honesto. Cuando tengamos runway, un programa remunerado será lo siguiente.

Muro de honor

Investigadores que hicieron este sitio más seguro

Acreditamos aquí cada reporte sustantivo una vez enviada la corrección. La lista está actualmente vacía — no porque nadie haya mirado, sino porque acabamos de publicar esta página. Si quieres ser la primera persona, escribe a [email protected].

¿Encontraste algo? Dínoslo primero.

Respondemos a cada reporte. Privado por defecto, público a tu ritmo.

Escribir al equipo Ver transparencia