Suscríbete

    Política de Seguridad

    Nos tomamos en serio la seguridad de nuestros usuarios y sus datos. Si eres investigador de seguridad y encontraste una vulnerabilidad en los servicios de Letras.com, agradecemos que te pongas en contacto de manera responsable.

    Cómo reportar

    Envía un correo a security@letras.mus.br con:


    • Descripción clara de la vulnerabilidad;
    • Pasos para reproducirla (PoC);
    • Impacto potencial;
    • Sugerencia de corrección, si la hubiera;
    • Tu nombre, handle y perfil público, en caso de que quieras ser reconocido.

    SLA de respuesta: respuesta inicial en hasta 48 horas hábiles; triaje completo en hasta 5 días hábiles.

    Alcance

    Dentro del alcance


    • *.letras.mus.br
    • *.letras.com
    • Apps móviles oficiales de Letras.com para iOS y Android;
    • APIs públicas de los dominios anteriores.

    Servicios compartidos relacionados


    • Cifra Club ID, cuando la vulnerabilidad involucre autenticación, autorización, sesión, cuenta o datos usados por Letras.com;
    • Cifra Club, Palco MP3 y otros productos de Studio Sol, cuando el bug raíz esté en infraestructura, servicios, APIs o código compartido con Letras.com;
    • Flujos de login, registro, pagos, suscripciones, cuentas e integraciones comunes que tengan impacto demostrable en Letras.com.

    Esta inclusión no autoriza pruebas indiscriminadas sobre todos los activos de otros productos. Los reports deben demostrar relación con Letras.com o con servicios compartidos utilizados por Letras.com.


    Fuera del alcance


    • Ataques de denegación de servicio (DoS/DDoS);
    • Ingeniería social contra empleados o usuarios;
    • Ataques físicos a la infraestructura o a los colaboradores;
    • Spam, brute-force sin PoC de impacto y scanners automatizados sin evidencia de explotación;
    • Fallas en sistemas de terceros, como ad networks, CDNs, analytics y procesadores de pago;
    • Missing security headers sin demostración de impacto explotable;
    • Vulnerabilidades en bibliotecas o dependencias sin PoC contra nuestros servicios;
    • Self-XSS, clickjacking en páginas sin acciones sensibles y disclosure de versiones de software sin vulnerabilidad demostrada.

    Reglas de divulgación responsable

    • No accedas, modifiques ni exfiltres datos de otros usuarios más allá del mínimo necesario para la PoC;
    • No ejecutes ataques que puedan degradar el servicio para otros usuarios;
    • No divulgues públicamente la vulnerabilidad antes de su corrección y por un mínimo de 90 días tras el report;
    • Usa únicamente cuentas de prueba creadas por ti;
    • Los reports deben ser originales. Los duplicados y reports recibidos previamente por otros canales no son elegibles.

    Las personas investigadoras que sigan estas reglas no enfrentarán acciones legales por parte de Letras.com.

    Servicios compartidos

    Letras.com comparte infraestructura, servicios y partes del código con otros productos de Studio Sol, incluyendo Cifra Club, Palco MP3 y Cifra Club ID. Por eso, algunos hallazgos realizados en el alcance de Letras.com pueden afectar también a otros productos.


    Las vulnerabilidades en servicios compartidos, como autenticación, autorización, cuentas, pagos, infraestructura o APIs comunes, serán evaluadas por el impacto agregado en los productos afectados.


    Cuando el mismo bug raíz impacte múltiples productos, la recompensa podrá incrementarse por el impacto sistémico, sin que haya duplicación automática de recompensas por producto, marca o dominio.

    Política de recompensas

    Las recompensas se evalúan caso a caso, considerando severidad, impacto real, calidad del report, originalidad, explotación demostrada, alcance sistémico y presupuesto disponible del programa. El envío de un report no garantiza una recompensa económica.


    • Crítico: Recompensa económica o gift card + Hall of Fame, cuando corresponda + Premium vitalicio. Ejemplos: account takeover sin interacción, RCE, SQL injection con extracción de datos, filtración masiva de datos sensibles, bypass total de autenticación o falla sistémica en login/cuentas compartidas.
    • Alto: Recompensa económica o gift card + Hall of Fame, cuando corresponda + Premium por 3 años. Ejemplos: account takeover con interacción limitada, IDOR en datos sensibles, stored XSS con impacto real, privilege escalation, acceso indebido a datos privados o bypass relevante de autorización.
    • Medio: Recompensa económica o gift card + Hall of Fame, cuando corresponda + Premium por 1 año. Ejemplos: reflected XSS explotable, CSRF en acción sensible, open redirect con impacto demostrado, exposición moderada de información, fallas de sesión con impacto limitado o bypass parcial de controles.
    • Bajo: Gift card, Hall of Fame o Premium por 6 meses, según el impacto. Ejemplos: exposición no sensible de información, configuraciones subóptimas con bajo impacto, problemas de rate limit sin explotación significativa o fallas que requieren condiciones muy restringidas.
    • Informativo: Hall of Fame, cuando sea útil. Ejemplos: buenas prácticas de hardening, observaciones sin impacto explotable inmediato o reports que ayuden a mejorar la postura de seguridad sin representar una vulnerabilidad directamente explotable.

    Hall of Fame

    Las personas investigadoras que reporten vulnerabilidades válidas serán reconocidas públicamente en nuestro Hall of Fame no GitHub, con consentimiento previo.

    Proceso

    1. Envío del report a security@letras.mus.br;
    2. Confirmación de recepción en hasta 48 horas hábiles;
    3. Triaje y validación de la PoC en hasta 5 días hábiles;
    4. Corrección e implementación según la severidad;
    5. Validación opcional de la corrección por parte del investigador;
    6. Pago de la recompensa y reconocimiento público, cuando corresponda.

    Última actualización: mayo de 2026

    ¿Preguntas? security@letras.mus.br