๐Ÿ›ก๏ธ

Security & Bug Bounty

We're a small team of 2 creators building XPlus Finance. Security matters to us. If you find a vulnerability, please report it responsibly.

Somos un equipo pequeno de 2 creadores construyendo XPlus Finance. La seguridad nos importa. Si encuentras una vulnerabilidad, reportala de manera responsable.

RFC 9116 OWASP VDP

๐Ÿ” Authorization (Safe Harbor)Autorizacion (Safe Harbor)

Important: The existence of security.txt does NOT automatically grant permission to test our systems (per RFC 9116). Testing is ONLY authorized under this Security Policy.

What We Authorize

If you:

  • Stay within the in-scope targets listed below
  • Follow the Rules of Engagement
  • Act in good faith and do not cause harm to our services or users
  • Do not access, modify, or delete data belonging to other users

We consider good-faith security research within scope and these rules as authorized activity.

Our Commitment to You

We will not initiate legal action (including DMCA, CFAA, or equivalent claims) against researchers acting in good faith under this policy. We will work with you to understand and resolve issues quickly.

This Safe Harbor does NOT apply to:

  • Actions that are out of scope
  • Testing that causes service disruption (DoS)
  • Accessing other users' data without authorization
  • Any malicious or disruptive behavior
  • Testing third-party services we use (Stripe, Cloudflare, etc.)
  • Actions that violate any applicable law

Importante: La existencia de security.txt NO otorga automaticamente permiso para probar nuestros sistemas (segun RFC 9116). Las pruebas SOLO estan autorizadas bajo esta Politica de Seguridad.

Lo Que Autorizamos

Si tu:

  • Permaneces dentro de los objetivos en alcance listados abajo
  • Sigues las Reglas de Participacion
  • Actuas de buena fe y no causas dano a nuestros servicios o usuarios
  • No accedes, modificas o eliminas datos de otros usuarios

Consideramos la investigacion de seguridad de buena fe dentro del alcance y estas reglas como actividad autorizada.

Nuestro Compromiso Contigo

No iniciaremos acciones legales (incluyendo DMCA, CFAA, o reclamos equivalentes) contra investigadores que actuen de buena fe bajo esta politica. Trabajaremos contigo para entender y resolver problemas rapidamente.

Este Safe Harbor NO aplica a:

  • Acciones que estan fuera del alcance
  • Pruebas que causen interrupcion del servicio (DoS)
  • Acceso a datos de otros usuarios sin autorizacion
  • Cualquier comportamiento malicioso o disruptivo
  • Probar servicios de terceros que usamos (Stripe, Cloudflare, etc.)
  • Acciones que violen cualquier ley aplicable

๐Ÿ“ง How to ReportComo Reportar

[email protected]

Email is our official channel El email es nuestro canal oficial

Please include in your report:

  • Affected URL, endpoint, or component
  • Clear, step-by-step instructions to reproduce the issue
  • Proof of concept (HTTP request/response, screenshots, or video)
  • Your assessment of the severity and potential impact
  • Any recommendations for fixing the issue (optional but appreciated)

Important: Do NOT include real user data in your report. Use only your own test accounts or accounts we provide for testing.

Por favor incluye en tu reporte:

  • URL, endpoint o componente afectado
  • Instrucciones claras, paso a paso, para reproducir el problema
  • Prueba de concepto (peticion/respuesta HTTP, capturas, o video)
  • Tu evaluacion de la severidad e impacto potencial
  • Recomendaciones para solucionar el problema (opcional pero apreciado)

Importante: NO incluyas datos reales de usuarios en tu reporte. Usa solo tus propias cuentas de prueba o cuentas que te proporcionemos.

๐ŸŽฏ Scope

In Scope

Landing
xplusfinance.org
Main App
app.xplusfinance.org
Blog
app.xplusfinance.org/blog
API
api.xplusfinance.org

API Testing Note (403 Responses)

Direct access to api.xplusfinance.org may return 403 Forbidden for non-approved traffic (WAF rules, rate limiting). If you need to test API endpoints directly, contact us first and we will provide a safe method (staging environment or temporary controlled access).

403 responses alone are not a vulnerability unless you can demonstrate a security impact (e.g., WAF bypass, misconfiguration leading to data exposure, authentication issues). Reports must include proof of exploitable security impact.

Nota sobre Pruebas de API (Respuestas 403)

El acceso directo a api.xplusfinance.org puede retornar 403 Forbidden para trafico no aprobado (reglas WAF, rate limiting). Si necesitas probar endpoints de la API directamente, contactanos primero y te proporcionaremos un metodo seguro (entorno staging o acceso temporal controlado).

Las respuestas 403 por si solas no son una vulnerabilidad a menos que puedas demostrar un impacto de seguridad (ej: bypass de WAF, mala configuracion que lleve a exposicion de datos, problemas de autenticacion). Los reportes deben incluir prueba de impacto de seguridad explotable.

Out of Scope

ExcludedExcluido
DoS/DDoS
ExcludedExcluido
Social Engineering
ExcludedExcluido
Third-partyTerceros
ExcludedExcluido
PhysicalFisicos
ExcludedExcluido
Credential Stuffing
ExcludedExcluido
Spam/Phishing

Rate Limits & Scanning Guidelines

To avoid triggering our abuse protections, please follow these guidelines:

  • Maximum rate: No more than 10 requests per second
  • No credential stuffing or brute-force attacks
  • No large-scale content discovery (fuzzing) on unauthenticated endpoints
  • Stop immediately if you notice performance degradation
  • Use targeted testing instead of running full automated scans

Third-party services include: Stripe, PayPal, Plaid, Cloudflare, Vercel, and any other external integrations. Automated scanning that causes service disruption, excessive traffic, or triggers our abuse protections is excluded.

Limites de Tasa y Guias de Escaneo

Para evitar activar nuestras protecciones anti-abuso, sigue estas guias:

  • Tasa maxima: No mas de 10 peticiones por segundo
  • No credential stuffing o ataques de fuerza bruta
  • No descubrimiento de contenido a gran escala (fuzzing) en endpoints no autenticados
  • Detente inmediatamente si notas degradacion del rendimiento
  • Usa pruebas dirigidas en lugar de ejecutar escaneos automatizados completos

Los servicios de terceros incluyen: Stripe, PayPal, Plaid, Cloudflare, Vercel, y cualquier otra integracion externa. Escaneo automatizado que cause interrupcion del servicio, trafico excesivo, o active nuestras protecciones anti-abuso esta excluido.

๐Ÿ“‹ Rules of EngagementReglas de Participacion

To maintain Safe Harbor protection, you must:

  • Use only your own accounts or accounts we provide for testing
  • Do not access, modify, or delete other users' data under any circumstances
  • Stop testing immediately once you have confirmed a vulnerability exists
  • Do not exploit vulnerabilities beyond what is necessary to demonstrate the issue
  • No public disclosure without prior written coordination with us
  • Give us reasonable time to fix issues before any disclosure (see Coordinated Disclosure)
  • Do not use automated tools that generate excessive traffic or cause service degradation
  • Do not attempt social engineering against our team or users

Para mantener la proteccion Safe Harbor, debes:

  • Usar solo tus propias cuentas o cuentas que te proporcionemos para pruebas
  • No acceder, modificar o eliminar datos de otros usuarios bajo ninguna circunstancia
  • Detener las pruebas inmediatamente una vez que hayas confirmado que existe una vulnerabilidad
  • No explotar vulnerabilidades mas alla de lo necesario para demostrar el problema
  • No divulgacion publica sin coordinacion previa por escrito con nosotros
  • Darnos tiempo razonable para corregir los problemas antes de cualquier divulgacion (ver Divulgacion Coordinada)
  • No usar herramientas automatizadas que generen trafico excesivo o causen degradacion del servicio
  • No intentar ingenieria social contra nuestro equipo o usuarios

๐Ÿค Coordinated DisclosureDivulgacion Coordinada

Please do not publicly disclose vulnerability details before we have fixed the issue.

We follow a coordinated disclosure process aligned with industry standards (CERT/CC, OWASP):

24h
Initial Acknowledgment
5 days
Triage & Assessment
90 days
Disclosure Window
  • Acknowledgment: We will confirm receipt within 24 hours (excluding weekends and holidays)
  • Triage: Initial assessment within 5 business days
  • Status updates: Weekly updates until resolution
  • Disclosure window: Up to 90 days to fix (or sooner if resolved earlier)
  • Extensions: We may request an extension for complex fixes; we will coordinate with you

Encrypted Reports

For sensitive reports, you may encrypt your email using our PGP key:

PGP Key: Available at security.txt
Primary channel: [email protected]

We commit to keeping you informed of our progress and will credit you (with permission) once the issue is resolved.

Por favor no divulgues publicamente los detalles de la vulnerabilidad antes de que hayamos solucionado el problema.

Seguimos un proceso de divulgacion coordinada alineado con estandares de la industria (CERT/CC, OWASP):

24h
Acuse de Recibo
5 dias
Triaje & Evaluacion
90 dias
Ventana de Divulgacion
  • Acuse: Confirmaremos recepcion dentro de 24 horas (excluyendo fines de semana y festivos)
  • Triaje: Evaluacion inicial dentro de 5 dias habiles
  • Actualizaciones: Actualizaciones semanales hasta la resolucion
  • Ventana de divulgacion: Hasta 90 dias para corregir (o antes si se resuelve primero)
  • Extensiones: Podemos solicitar una extension para correcciones complejas; coordinaremos contigo

Reportes Encriptados

Para reportes sensibles, puedes encriptar tu email usando nuestra clave PGP:

Clave PGP: Disponible en security.txt
Canal principal: [email protected]

Nos comprometemos a mantenerte informado de nuestro progreso y te daremos credito (con tu permiso) una vez resuelto el problema.

๐Ÿ’ฐ Rewards (Small Budget)Recompensas (Presupuesto Limitado)

We're a small project with limited resources, but we believe in rewarding valid security findings:

Somos un proyecto pequeno con recursos limitados, pero creemos en recompensar hallazgos de seguridad validos:

SeveritySeveridad RewardRecompensa ExamplesEjemplos
Low $5 USD Information disclosure, minor misconfigurations Divulgacion de informacion, configuraciones menores
Medium $10 USD CSRF, stored XSS with limited impact, rate limiting bypass CSRF, XSS almacenado con impacto limitado, bypass de rate limiting
High / Critical $20+ USD Auth bypass, SQL injection, RCE, sensitive data exposure Bypass de autenticacion, SQL injection, RCE, exposicion de datos sensibles

Important: All rewards are discretionary and depend on the validity, impact, and reproducibility of the finding. We may pay higher rewards for exceptional findings, even if not explicitly listed above. Final reward amounts are determined at our sole discretion.

Importante: Todas las recompensas son discrecionales y dependen de la validez, impacto y reproducibilidad del hallazgo. Podemos pagar recompensas mas altas por hallazgos excepcionales, incluso si no estan listados explicitamente arriba. Los montos finales de recompensa son determinados a nuestra sola discrecion.

We do NOT pay for:NO pagamos por:

๐Ÿ† Hall of Fame

With your permission, we'll credit you here after the issue is fixed. Thank you to everyone who helps keep XPlus Finance secure!

Con tu permiso, te daremos credito aqui despues de que el problema sea solucionado. Gracias a todos los que ayudan a mantener XPlus Finance seguro!

Be the first to be recognized here! Se el primero en ser reconocido aqui!