Aller au contenu
shadgramers

Bug Bounty

ShadGramers encourage la divulgation responsable des vulnérabilités de sécurité. Nous récompensons les chercheurs qui nous aident à améliorer la sécurité de nos services.

Périmètre couvert (in-scope)

portail.shadgramers.tech

Portail client — authentification, API, dashboard

shadgramers.tech + vitrine

Site vitrine, formulaires, paiement Stripe

apps/orchestrator

Service BullMQ — provisioning, jobs

auth.shadgramers.tech

Keycloak — SSO, OIDC, provisioning tenants

API REST /api/v1/*

Endpoints publics avec token API

Webhooks entrants

Stripe, Mattermost, intégrations tierces

Hors périmètre (out-of-scope)

Rate-limit fuzzing et tests de volumétrie (DoS / DDoS)
Ingénierie sociale (phishing, vishing) contre nos équipes ou clients
Attaques physiques contre notre infrastructure
Vulnérabilités dans des logiciels tiers (Nextcloud, Keycloak, etc.) — signalez-les upstream
Auto-XSS (injection dans ses propres données sans impact cross-tenant)
Certificats SSL/TLS expirés ou configuration TLS sub-optimale sans impact démontré
Absence de headers de sécurité sans PoC d'exploitation réelle
Attaques nécessitant un accès physique à la machine de l'utilisateur final

Récompenses

CriticitéExemplesRécompense
CriticalRCE sur serveur, contournement d’authentification cross-tenant, exfiltration de données DB, élévation de privilèges totale, SSRF atteignant le réseau interne1 500 — 3 000 €
HighXSS persistant affectant d’autres utilisateurs, SSRF limité, escalade de privilège partielle (viewer → admin), CSRF sur actions sensibles authentifiées, injection SQL avec impact données500 — 1 500 €
MediumDivulgation d’informations sensibles (emails, IDs internes), XSS réfléchi avec impact limité, CSRF sur fonctions non-sensibles, bypass de rate-limit avec impact réel100 — 500 €
LowBugs de sécurité mineurs, mauvaises configurations sans impact immédiat, informations techniques non sensibles exposéesRemerciement public

Les montants sont indicatifs. La récompense finale est déterminée après analyse interne et dépend de l’impact réel, de la qualité du rapport et de la facilité d’exploitation. Paiement via Wise (virement SEPA) dans les 30 jours suivant la correction.

Processus de signalement

  1. 1Envoyez un email à security@shadgramers.tech avec le sujet [SECURITY] + courte description.
  2. 2Corps du mail : description de la vulnérabilité, étapes de reproduction, impact estimé, environnement testé.
  3. 3Si sensible (Critical/High), chiffrez avec notre clé PGP (empreinte ci-dessous).
  4. 4N'exploitez pas la vulnérabilité au-delà du strict nécessaire pour démontrer l'existence du bug.
  5. 5Attendez notre accusé de réception (max 5 jours ouvrés) avant toute divulgation publique.
  6. 6Coordination de la divulgation publique : nous ciblons 90 jours après signalement, ou plus tôt si la correction est disponible.

Contact & PGP

security@shadgramers.tech

Empreinte PGP :

Clé PGP non encore publiée

Template de rapport disponible sur demande. Voir aussi notre politique de divulgation responsable.

Hall of Fame

Soyez le premier chercheur à figurer ici.

Ce programme est couvert par notre Safe Harbor clause . Aucune poursuite judiciaire ne sera engagée contre les chercheurs agissant de bonne foi et respectant ce cadre.