Print Logo
Vous utilisez une version de navigateur plus ancienne qui n'est pas complètement compatible avec notre système. Votre expérience sur notre site web pourrait ne pas être optimale surtout en ce qui concerne notre désir de vous offrir performance, sécurité et fiabilité. Considérez une mise à jour de votre navigateur si vous rencontrez des problèmes en utilisant notre site web. Plus

Soyez payé pour nous signaler des bugs et des problèmes de sécurité importants

Put your experience to work for cash or store credit, but most of all to make everyone's experience here better and more secure.


IF PLACING ORDERS AT CHECKOUT, DO NOT ORDER METALS OR YOU WILL BE BANNED FROM OUR BUG BOUNTY PROGRAM. ORDER PLASTICS ONLY: https://sgb.co/accessories

If you check out or submit forms, use Test as your first and last name. Keep order values on checkout tests below $100.

Divulgation responsable

Make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our services.
Do not access or modify data that does not belong to you.
Do not make any information public until the issue has been resolved.

In order to encourage responsible disclosure, we will not bring legal action against researchers who point out a problem provided they do their best to follow the above guidelines.


Voici ce qui est admissible

We decide if the minimum severity threshold is met and whether it was previously reported.
Anything which has the potential for financial loss or data breach is of sufficient severity, including:

$US 2,000.00 - $US 3,500.00 Exécution de code à distance | Injection SQL
$US 800.00 - US$ 2,000.00 Contournement de l'authentification ou escalade des privilèges
$US 500.00 - US$ 800.00 Click Jacking
$US 500.00 Obtention des coordonnées des utilisateurs, mais sans dénombrement
$US 300.00 - US$ 500.00 XSS / CSRF
$US 50.00 - $US 300.00 Autres problèmes, à notre discrétion

Seule la gravité la plus élevée pour un problème donné est éligible


Voici la portée

*.silvergoldbull.ca
*.silvergoldbull.com
*.silvergoldbull.de
*.sgb.co
Silver Gold Bull Android app (Latest version)

This is Out of Scope, Not Eligible

- /education
- CSRF on checkout page
- Tarif restrictif
- Vulnerabilities on assets hosted by third parties including, but not limited to, those with CNAME entries to third parties, such as:
• affiliates.silvergoldbull.*
• autodiscover.silvergoldbull.*
• faq.silvergoldbull.*
• ifaq.silvergoldbull.*
• ira.silvergoldbull.*
• loan.silvergoldbull.*
• rrsp.silvergoldbull.*
• rsp.silvergoldbull.*
• sell.silvergoldbull.*
• sip.silvergoldbull.*
• storage.silvergoldbull.*
• trade.silvergoldbull.*
(The above list is a representative sample and not an exclusive list of all Silver Gold Bull subdomains hosted by third parties.)
- Le refus de service
- L'envoi de pourriels (spam)
- Previously reported or known to us
- Out of date software/plugins
- Best Practices (token expiry etc. - unless causing a critical vulnerability.)
- Les énumérations
- Email Security (SPF/DMARC/DKIM/ARC etc. - unless causing a critical vulnerability.)
- Les attaques nécessitant un accès physique à l'appareil d'un utilisateur
- Les politiques sur les mots de passe et la récupération de comptes, comme l'expiration d'un lien de réinitialisation ou le degré de complexité des mots de passe
- Missing HTTP security headers which do not lead directly to a vulnerability
- L'utilisation d'une bibliothèque connue comme étant vulnérable (sans preuve d'exploitabilité)
- Problèmes de logiciels ou de protocoles qui ne sont pas sous le contrôle de Silver Gold Bull
- Les signalements provenant d'outils ou de lecteurs automatisés
- Les signalements de pourriels (spam)
- Les vulnérabilités touchant les utilisateurs de navigateurs ou de plateformes obsolètes
- Le piratage psychologique des employés ou des pigistes de Silver Gold Bull
- Toute menace physique contre la propriété ou les centres de données de Silver Gold Bull
- Cookie flags (secure/httponly etc.)
- TLS/SSL issues (weak ciphers etc.)

Automated Scanning

If you employ automated scanning tools, their requests must be rate limited to not exceed 5 requests per second.
Failure to do so may be considered a DoS attack and will result in disqualification.
Automated vulnerability scanners commonly have low priority issues and/or false positives.
Before submitting the results from a scanner, please take a moment to confirm that the reported issues are actually valid and exploitable.

Submission Instructions

Send detailed steps on reproducing the bug to [email protected].
Please include screenshots, links you clicked on, pages visited, etc.
Including a video proof-of-concept is preferred if the bug requires many steps to reproduce.
Keep focused on the technical details and provide precise explanations; stay clear of off-topic commentary.
Provide a concrete attack scenario. Show clearly how will this impact the company or our users.

Conditions de paiement

Payment for all eligible bug reports will be made via PayPal.
It is the responsibility of the researcher to have a PayPal account in order to receive the reward.
Payment instructions will be provided when the bug is confirmed eligible. The reward must be accepted within 90 days after the bug is confirmed eligible.

Nous ferons un suivi en fonction de la sévérité.


[email protected]