Program odměn za zabezpečení

Žádná technologie není dokonalá. Ve společnosti Cryptohopper chceme vždy zajistit, aby obchodníci mohli spravovat svá portfolia bez nutnosti starat se o svá data a provádění obchodů. Pokud zjistíte něco, co potenciálně ovlivňuje bezpečnost našich uživatelů, oceníme vaši pomoc a odměníme akční informace

V oblasti působnosti

Můžete odeslat libovolný počet zranitelností našich systémů. Ne všechny zranitelnosti jsou však stejné. Pokud naleznete zranitelnost v následujících kategoriích, kontaktujte nás co nejdříve.


V rámci tohoto programu lze získat odměny za následující domény a aplikace.

  • Zranitelnosti SQL Injection
  • Zranitelnosti šifrování
  • Vzdálené spuštění kódu
  • Obcházení ověřování, neoprávněný přístup k datům
  • Externí entita XML
  • S3 bucket nahrání
  • Padělání požadavků na straně serveru

V rámci tohoto programu lze získat odměny za následující domény a aplikace:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • Aplikace pro iOS v Apple Store: cryptohopper-crypto-trading/id1463052050
  • Aplikace pro Android v obchodě Google Play: com.cryptohopper_mobile

Mimo oblast působnosti

Nepřijímáme příspěvky v následujících kategoriích:

  • Možnost vytvářet uživatelské účty bez omezení
  • Možnost provést akci nedostupnou přes uživatelské rozhraní bez identifikovaných bezpečnostních rizik
  • Možnost odesílat e-maily bez kontroly obsahu bez jakýchkoli omezení
  • jakákoli činnost, která by mohla vést k narušení našich služeb (DoS).
  • Útoky, které vyžadují MiTM nebo fyzický přístup k zařízení uživatele
  • Clickjacking
  • Podvržený obsah a vkládání textu
  • CSV injection bez prokázání zranitelnosti
  • Zveřejnění informací, které nejsou citlivé, jako je verze produktu, cesta k souboru na serveru, stopa zásobníku atd.
  • Zveřejnění původu a soukromých IP adres nebo domén směřujících na soukromé IP adresy
  • Únik citlivých tokenů (např. tokenu pro reset hesla) důvěryhodným třetím stranám při zabezpečeném připojení (HTTPS).
  • Chybějící osvědčené postupy při konfiguraci protokolu SSL/TLS
  • Chybějící osvědčené postupy v konfiguraci DNS (DKIM/DMARC/SPF/TXT)
  • Chybějící osvědčené postupy v hlavičkách HTTP bez prokázání zranitelnosti
  • Chybějící oznámení o důležitých akcích
  • Chybějící ochranný mechanismus nebo osvědčené postupy bez prokázání skutečného dopadu na bezpečnost uživatele nebo systému.
  • Dříve známé knihovny zranitelnosti bez funkčního ověření konceptu
  • Zprávy, které obsahují pouze výpisy havarijních stavů nebo výstupy automatizovaných nástrojů bez funkčního ověření konceptu.
  • Neověřené/přihlášení/odhlášení CSRF
  • Vyčíslení uživatelů
  • Vektory, které potřebují prostředí bez záplat (např. když chybí aktualizace systému Windows).
  • Vektory, které vyžadují verze prohlížeče vydané 6 nebo více měsíců před podáním zprávy
  • Chybějící omezení rychlosti u koncových bodů
  • Zfalšování požadavku na zkřížené stránky (CSRF)

Jak odeslat zranitelnost

Zranitelnosti nám můžete zaslat e-mailem na adresu [email protected].

V e-mailu stručně uveďte, jakou zranitelnost jste zjistili. V e-mailu uveďte zejména následující údaje:

  • Která zranitelnost
  • Kroky, které jste podnikli
  • Celá adresa URL
  • Zahrnuté objekty (jako jsou filtry nebo vstupní pole)
  • Snímky obrazovky a videa jsou velmi vítány
  • Do hlášení o chybě uveďte svou IP adresu, která zůstane soukromá a bude sloužit ke sledování vašich testovacích aktivit a k prohlížení záznamů z naší strany.
  • Popište váš problém co nejpřesněji a co nejpodrobněji a uveďte veškeré důkazy, které máte k dispozici. Můžete předpokládat, že oznámení obdrží naši odborníci

Pravidla

Přijměte odpovědnost a jednejte velmi opatrně a obezřetně. Při vyšetřování záležitosti používejte pouze metody nebo techniky, které jsou nezbytné k nalezení nebo prokázání zranitelnosti.

  • Buďte etickým hackerem a respektujte soukromí ostatních uživatelů.
  • Nepoužívejte objevené zranitelnosti k jiným účelům, než k vlastnímu vyšetřování.
  • Nezveřejňujte zranitelnosti jiným stranám než Cryptohopper, poskytněte nám přiměřený čas na vyřešení problému před zveřejněním veřejnosti nebo třetí straně.
  • Nepoužívejte sociální inženýrství pro získání přístupu do systému.
  • Neinstaluje žádná zadní vrátka, a to ani za účelem demonstrace zranitelnosti systému. Zadní vrátka ohrožují zabezpečení systémů
  • Neměňte ani nemažte žádné informace v systému. Pokud potřebujete kopírovat informace pro své vyšetřování, nikdy nekopírujte více, než potřebujete. Pokud vám postačí jeden záznam, nepokračujte dále.
  • Systém nijak neupravujte
  • Do systému pronikejte pouze v případě, že je to nezbytně nutné. Pokud se vám podaří do systému proniknout, nesdílejte přístup s ostatními.
  • Nepoužívejte k získání přístupu do systémů techniky hrubé síly, jako je opakované zadávání hesel.
  • Zabezpečte své systémy co nejpřísněji

Odměny

V systému odměn zachováváme flexibilitu a nemáme stanovenou minimální/maximální částku; odměny jsou založeny na závažnosti, dopadu a kvalitě hlášení. Chcete-li získat odměnu, musíte pobývat v zemi, která není na sankčních seznamech (např. Kuba, Írán, Severní Korea, Súdán a Sýrie). Jedná se o diskreční program a společnost Cryptohopper si vyhrazuje právo program zrušit; rozhodnutí o vyplacení odměny je na našem uvážení.

Další úvahy:

  • Pokud dojde k duplicitám, oceníme pouze první zprávu, kterou jsme obdrželi.
  • Za více zranitelností způsobených jedním základním problémem bude udělena jedna odměna.
  • Naši inženýři musí být schopni reprodukovat bezpečnostní chybu z vaší zprávy. Příliš vágní nebo nejasná hlášení nemají nárok na odměnu. Hlášení, která obsahují jasně napsaná vysvětlení a funkční kód, mají větší šanci získat odměnu.
Často kladené otázky
Často kladené otázky
Cryptohopper si velmi cení vaší snahy pomoci nám při zabezpečení našich systémů a procesů. V závislosti na dopadu určíme odměnu. Odměna nemusí být vždy peněžní, ale může mít i podobu předplatného Cryptohopperu
Nikdy nezveřejňujte zranitelná místa v našich IT systémech nebo vaše vyšetřování bez předchozí konzultace s námi. Společně můžeme zabránit zneužití vašich informací zločinci a hackery. Konzultujte vše prosím s našimi bezpečnostními odborníky a dejte nám čas na vyřešení problému.
Ano, můžete. Při hlášení zranitelnosti nám nemusíte sdělovat své jméno a kontaktní údaje. Uvědomte si však, že s vámi nebudeme moci konzultovat následná opatření, např. co s vaším hlášením uděláme, další spolupráci nebo zaslání odměny.
Problémy se zabezpečením zašlete na adresu [email protected] pomocí klíče PGP uvedeného v dokumentaci programu Security Bounty.

Odmítnutí odpovědnosti: Cryptohopper není regulovaným subjektem. Obchodování s kryptoměnovými boty s sebou nese značná rizika a minulá výkonnost není indikátorem budoucích výsledků. Zisky uvedené na snímcích obrazovky produktu jsou ilustrativní a mohou být přehnané. Do obchodování s boty se zapojte pouze v případě, že máte dostatečné znalosti, nebo požádejte o radu kvalifikovaného finančního poradce. Společnost Cryptohopper za žádných okolností nepřebírá žádnou odpovědnost vůči jakékoli osobě nebo subjektu za (a) jakoukoli ztrátu nebo škodu, zcela nebo zčásti, způsobenou transakcemi s naším softwarem, vzniklou v důsledku těchto transakcí nebo v souvislosti s nimi, nebo (b) jakékoli přímé, nepřímé, zvláštní, následné nebo náhodné škody. Upozorňujeme, že obsah dostupný na sociální obchodní platformě Cryptohopper je vytvářen členy komunity Cryptohopper a nepředstavuje radu ani doporučení od společnosti Cryptohopper nebo jejím jménem. Zisky uvedené na Markteplace nejsou indikátorem budoucích výsledků. Používáním služeb Cryptohopper berete na vědomí a přijímáte rizika spojená s obchodováním s kryptoměnami a souhlasíte s tím, že Cryptohopper zbavíte jakýchkoli závazků nebo ztrát. Před použitím našeho softwaru nebo zapojením se do jakýchkoli obchodních aktivit je nezbytné prostudovat a pochopit naše Podmínky poskytování služeb a Zásady zveřejňování rizik. Obraťte se prosím na právní a finanční odborníky, kteří vám poskytnou individuální poradenství na základě vašich konkrétních okolností.

©2017 - 2024 Copyright by Cryptohopper™ - Všechna práva vyhrazena.