Bug Bounty
Si encontraste una vulnerabilidad en wedge, queremos saberlo. Trabajamos con investigadores de seguridad bajo un modelo de divulgación responsable: tú nos avisas en privado, nosotros arreglamos rápido y reconocemos tu trabajo.
Alcance
Este programa cubre únicamente los siguientes activos. Cualquier prueba contra otra propiedad (incluso si parece relacionada) queda fuera de alcance.
wedgemx.com— la app web de producción- APIs públicas en
/api/*de ese mismo dominio - Infraestructura propia (Supabase project asociado, funciones edge de wedge)
Fuera de alcance: integraciones de terceros (Stripe, Resend, Anthropic, Vercel, Supabase mismas), tipos de ataque DoS volumétricos, ingeniería social a empleados, y subdominios de marketing experimental.
Reglas del juego
- No accedas, modifiques ni destruyas datos de otros usuarios. Usa cuentas de prueba propias.
- No ejecutes ataques de denegación de servicio, escaneo masivo, ni spam.
- Dale al equipo un plazo razonable para arreglar antes de divulgar públicamente (mínimo 90 días).
- No publiques detalles del bug hasta que el reporte se cierre y se anuncie el fix.
- Reportes duplicados se reconocen al primero que llegue, en orden de timestamp.
Tiers de reconocimiento
Hoy operamos en pre-monetización, así que el programa todavía no paga recompensas en efectivo. Reconocemos públicamente y enviamos swag a quienes nos ayudan a mejorar. Conforme el producto crezca, agregaremos rangos en MXN.
Cómo reportar
Escribe a seguridad@wedgemx.com con:
- Una descripción del bug y su impacto.
- Pasos exactos para reproducirlo (preferentemente con screenshots o video).
- Tu prueba de concepto, si aplica.
- Cómo te gustaría que te reconozcamos (handle, sitio web, anónimo).
Te respondemos en menos de 48 horas hábiles con una clasificación inicial. No usamos números de CVE en este programa — los fixes y disclosures van en notas internas y un changelog público.