Program odměn za zabezpečení
Žádná technologie není dokonalá. Ve společnosti Cryptohopper chceme vždy zajistit, aby obchodníci mohli spravovat svá portfolia bez nutnosti starat se o svá data a provádění obchodů. Pokud zjistíte něco, co potenciálně ovlivňuje bezpečnost našich uživatelů, oceníme vaši pomoc a odměníme akční informace
V oblasti působnosti
Můžete odeslat libovolný počet zranitelností našich systémů. Ne všechny zranitelnosti jsou však stejné. Pokud naleznete zranitelnost v následujících kategoriích, kontaktujte nás co nejdříve.
V rámci tohoto programu lze získat odměny za následující domény a aplikace.
- Zranitelnosti SQL Injection
- Zranitelnosti šifrování
- Vzdálené spuštění kódu
- Obcházení ověřování, neoprávněný přístup k datům
- Externí entita XML
- S3 bucket nahrání
- Padělání požadavků na straně serveru
V rámci tohoto programu lze získat odměny za následující domény a aplikace:
- www.cryptohopper.com
- api.cryptohopper.com
- Aplikace pro iOS v Apple Store: cryptohopper-crypto-trading/id1463052050
- Aplikace pro Android v obchodě Google Play: com.cryptohopper_mobile
Mimo oblast působnosti
Nepřijímáme příspěvky v následujících kategoriích:
- Možnost vytvářet uživatelské účty bez omezení
- Možnost provést akci nedostupnou přes uživatelské rozhraní bez identifikovaných bezpečnostních rizik
- Možnost odesílat e-maily bez kontroly obsahu bez jakýchkoli omezení
- jakákoli činnost, která by mohla vést k narušení našich služeb (DoS).
- Útoky, které vyžadují MiTM nebo fyzický přístup k zařízení uživatele
- Clickjacking
- Podvržený obsah a vkládání textu
- CSV injection bez prokázání zranitelnosti
- Zveřejnění informací, které nejsou citlivé, jako je verze produktu, cesta k souboru na serveru, stopa zásobníku atd.
- Zveřejnění původu a soukromých IP adres nebo domén směřujících na soukromé IP adresy
- Únik citlivých tokenů (např. tokenu pro reset hesla) důvěryhodným třetím stranám při zabezpečeném připojení (HTTPS).
- Chybějící osvědčené postupy při konfiguraci protokolu SSL/TLS
- Chybějící osvědčené postupy v konfiguraci DNS (DKIM/DMARC/SPF/TXT)
- Chybějící osvědčené postupy v hlavičkách HTTP bez prokázání zranitelnosti
- Chybějící oznámení o důležitých akcích
- Chybějící ochranný mechanismus nebo osvědčené postupy bez prokázání skutečného dopadu na bezpečnost uživatele nebo systému.
- Dříve známé knihovny zranitelnosti bez funkčního ověření konceptu
- Zprávy, které obsahují pouze výpisy havarijních stavů nebo výstupy automatizovaných nástrojů bez funkčního ověření konceptu.
- Neověřené/přihlášení/odhlášení CSRF
- Vyčíslení uživatelů
- Vektory, které potřebují prostředí bez záplat (např. když chybí aktualizace systému Windows).
- Vektory, které vyžadují verze prohlížeče vydané 6 nebo více měsíců před podáním zprávy
- Chybějící omezení rychlosti u koncových bodů
- Zfalšování požadavku na zkřížené stránky (CSRF)
Jak odeslat zranitelnost
Zranitelnosti nám můžete zaslat e-mailem na adresu [email protected].
V e-mailu stručně uveďte, jakou zranitelnost jste zjistili. V e-mailu uveďte zejména následující údaje:
- Která zranitelnost
- Kroky, které jste podnikli
- Celá adresa URL
- Zahrnuté objekty (jako jsou filtry nebo vstupní pole)
- Snímky obrazovky a videa jsou velmi vítány
- Do hlášení o chybě uveďte svou IP adresu, která zůstane soukromá a bude sloužit ke sledování vašich testovacích aktivit a k prohlížení záznamů z naší strany.
- Popište váš problém co nejpřesněji a co nejpodrobněji a uveďte veškeré důkazy, které máte k dispozici. Můžete předpokládat, že oznámení obdrží naši odborníci
Pravidla
Přijměte odpovědnost a jednejte velmi opatrně a obezřetně. Při vyšetřování záležitosti používejte pouze metody nebo techniky, které jsou nezbytné k nalezení nebo prokázání zranitelnosti.
- Buďte etickým hackerem a respektujte soukromí ostatních uživatelů.
- Nepoužívejte objevené zranitelnosti k jiným účelům, než k vlastnímu vyšetřování.
- Nezveřejňujte zranitelnosti jiným stranám než Cryptohopper, poskytněte nám přiměřený čas na vyřešení problému před zveřejněním veřejnosti nebo třetí straně.
- Nepoužívejte sociální inženýrství pro získání přístupu do systému.
- Neinstaluje žádná zadní vrátka, a to ani za účelem demonstrace zranitelnosti systému. Zadní vrátka ohrožují zabezpečení systémů
- Neměňte ani nemažte žádné informace v systému. Pokud potřebujete kopírovat informace pro své vyšetřování, nikdy nekopírujte více, než potřebujete. Pokud vám postačí jeden záznam, nepokračujte dále.
- Systém nijak neupravujte
- Do systému pronikejte pouze v případě, že je to nezbytně nutné. Pokud se vám podaří do systému proniknout, nesdílejte přístup s ostatními.
- Nepoužívejte k získání přístupu do systémů techniky hrubé síly, jako je opakované zadávání hesel.
- Zabezpečte své systémy co nejpřísněji
Odměny
V systému odměn zachováváme flexibilitu a nemáme stanovenou minimální/maximální částku; odměny jsou založeny na závažnosti, dopadu a kvalitě hlášení. Chcete-li získat odměnu, musíte pobývat v zemi, která není na sankčních seznamech (např. Kuba, Írán, Severní Korea, Súdán a Sýrie). Jedná se o diskreční program a společnost Cryptohopper si vyhrazuje právo program zrušit; rozhodnutí o vyplacení odměny je na našem uvážení.
Další úvahy:
- Pokud dojde k duplicitám, oceníme pouze první zprávu, kterou jsme obdrželi.
- Za více zranitelností způsobených jedním základním problémem bude udělena jedna odměna.
- Naši inženýři musí být schopni reprodukovat bezpečnostní chybu z vaší zprávy. Příliš vágní nebo nejasná hlášení nemají nárok na odměnu. Hlášení, která obsahují jasně napsaná vysvětlení a funkční kód, mají větší šanci získat odměnu.