YOLA está construida en vivo, con IA generando código, sin una infraestructura de seguridad profesional. Ser honesto es nuestra fuerza — y tu oportunidad.
El 90%+ del código de YOLA fue escrito por inteligencia artificial. Sin code review humano exhaustivo. Sin audit de seguridad profesional. Línea por línea, IA decidiendo la arquitectura.
Construimos en días lo que otros tardarían meses. Eso significa que escape(), sanitize() y validación de inputs son más básicos de lo que deberían ser. Lo sabemos.
El código fuente completo está en GitHub. Cada meta tag, cada CSP header, cada función de sanitización es visible. No hay nada oculto. La seguridad por oscuridad no existe aquí.
Usamos localStorage para votos, mode: 'no-cors' para POST, y Google Apps Script como backend. No hay rate limiting profesional, no hay WAF, no hay IDS.
Las páginas de YOLA (landing, feedback, countdown, tech) están desplegadas o lo estarán. Si lográs extraer datos que no deberías estar disponibles, o inyectar algo que no debería funcionar, ganás.
No rompas nada. No borres datos. No DaS la página. Demuestra que pudiste con una captura, un video, o un reporte detallado. El daño destruye la confianza — la prueba la construye.
Envía tu hallazgo a través del feedback global con categoría "Bug" y tag "[CHALLENGE]". Si es válido, activas tu multiplicador (hasta ×4.75).
Si tu hallazgo es confirmado como válido, tu participación se multiplica hasta por 4.75, según la gravedad del hallazgo. No ×3.75 como Origin. No ×2 como Genesis. Hasta ×4.75 — el multiplicador más alto que existirá en la historia de YOLA.
Todo lo que sabemos que está mal. Tu oportunidad.
HTML + CSS + JS puro. CSP básicos. Sin framework de seguridad. Todo visible en DevTools.
Apps Script como backend. Sin autenticación real. Rate limiting básico. API key visible en el código fuente.
Los votos se almacenan en el browser. Fácil de manipular. Sin validación server-side estricta.
La URL del Apps Script está en el JavaScript del cliente. Cualquiera puede hacer requests directos.
Regex para limpiar inputs. Sin DOMPurify. Sin CSP estricto. Posibles bypasses de XSS.
No hay servidor propio. No hay CORS estricto. No hay autenticación. No hay SES tokens.
Sí, estamos buscando nuestro experto en seguridad. Si este reto te excita, tal vez tu lugar es acá. → Dínos quién sos
Si encontrás algo, reportalo. Si es válido, ganás hasta ×4.75 según el nivel. Si no lo es, igual nos ayudás a mejorar. No hay perdedores — solo niveles de convicción.