Sicherheits-Bounty-Programm

Keine Technologie ist perfekt. Bei Cryptohopper wollen wir immer sicherstellen, dass Händler ihre Portfolios verwalten können, ohne sich Sorgen um ihre Daten und die Handelsausführung machen zu müssen. Wenn du etwas findest, das möglicherweise die Sicherheit unserer Nutzer beeinträchtigt, sind wir für deine Hilfe dankbar und belohnen handlungsfähige Informationen

Im Rahmen

Du kannst beliebig viele Sicherheitslücken in unserem System melden. Allerdings sind nicht alle Sicherheitslücken gleichwertig. Wenn du eine Sicherheitslücke in einer der folgenden Kategorien entdeckst, kontaktiere uns bitte so schnell wie möglich.


Die folgenden Domains und Anwendungen sind für Prämien im Rahmen dieses Programms berechtigt

  • SQL-Injection-Schwachstellen
  • Schwachstellen bei der Verschlüsselung
  • Remote Code-Ausführung
  • Umgehung der Authentifizierung, unberechtigter Datenzugriff
  • Externe XML-Entität
  • S3 Bucket Upload
  • Server-seitige Anforderungsfälschung

Die folgenden Domains und Anwendungen sind für Prämien im Rahmen dieses Programms berechtigt:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • iOS-Anwendung im Apple Store: cryptohopper-crypto-trading/id1463052050
  • Android-Anwendung im Google Play Store: com.cryptohopper_mobile

Außerhalb des Geltungsbereichs

In den folgenden Kategorien nehmen wir keine Beiträge an:

  • Unbegrenzte Möglichkeit, Benutzerkonten zu erstellen
  • Fähigkeit, eine über die Benutzeroberfläche nicht verfügbare Aktion ohne identifizierte Sicherheitsrisiken durchzuführen
  • Möglichkeit des Versendens von E-Mails ohne Kontrolle über den Inhalt ohne jegliche Einschränkungen
  • Jede Aktivität, die zu einer Unterbrechung unseres Dienstes führen könnte (DoS)
  • Angriffe, die MiTM oder physischen Zugang zum Gerät eines Nutzers erfordern
  • Clickjacking
  • Spoofing von Inhalten und Textinjektion
  • CSV-Injektion ohne Nachweis einer Sicherheitslücke
  • Offenlegung nicht sensibler Informationen, wie Produktversion, Dateipfad auf einem Server, Stack-Trace usw.
  • Offenlegung der Herkunft und der privaten IP-Adressen oder der Domänen, die auf private IP-Adressen verweisen
  • Durchsickern sensibler Token (z. B. Token zum Zurücksetzen des Passworts) an vertrauenswürdige Dritte über eine sichere Verbindung (HTTPS)
  • Fehlende bewährte Praktiken bei der SSL/TLS-Konfiguration
  • Fehlende bewährte Verfahren bei der DNS-Konfiguration (DKIM/DMARC/SPF/TXT)
  • Fehlende bewährte Praktiken in HTTP-Headern ohne Nachweis einer Schwachstelle
  • Fehlende Benachrichtigungen über wichtige Aktionen
  • Fehlende Schutzmechanismen oder bewährte Praktiken ohne Nachweis der tatsächlichen Sicherheitsauswirkungen für Benutzer oder System
  • Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept
  • Berichte, die nur Crash Dumps oder automatisierte Tool-Ausgaben ohne einen funktionierenden Konzeptnachweis enthalten
  • Unauthentifiziertes An- und Abmelden CSRF
  • Aufzählung der Benutzer
  • Vektoren, die eine ungepatchte Umgebung erfordern (z. B. fehlende Windows-Updates)
  • Vektoren, die Browser-Versionen erfordern, die 6 oder mehr Monate vor der Berichtseinreichung veröffentlicht wurden
  • Fehlende Ratenbegrenzung bei Endpunkten
  • Cross-Site Request Forgery (CSRF)

Wie man eine Schwachstelle meldet

Du kannst uns Sicherheitslücken per E-Mail an [email protected] melden .

Gib bitte in deiner E-Mail prägnant an, welche Sicherheitslücke du gefunden hast. Enthalte insbesondere die folgenden Informationen in deiner E-Mail:

  • Welche Schwachstelle
  • Bisherige Schritte
  • Die gesamte URL
  • Beteiligte Objekte (als Filter oder Eingabefelder)
  • Screenshots und Bildschirmvideos sind sehr erwünscht
  • Bitte geben Sie Ihre IP-Adresse in dem Fehlerbericht an. Diese Informationen werden vertraulich behandelt und dienen dazu, Ihre Testaktivitäten zu verfolgen und die Protokolle von unserer Seite aus zu überprüfen.
  • Beschreibe das Problem so detailliert wie möglich und liefere Beispiele. Spezialisten werden deine Benachrichtigung erhalten.

Regeln

Übernimm Verantwortung und handle äußerst sorgfältig. Verwende bei der Untersuchung der Angelegenheit nur Methoden oder Techniken, die notwendig sind, um Schwachstellen zu finden oder zu demonstrieren

  • Sei ein ethischer Hacker und respektiere die Privatsphäre anderer Nutzer
  • Verwendedie von dir entdeckten Schwachstellen nicht für andere Zwecke als deine eigene Untersuchung
  • Geben Sie Schwachstellen nicht an andere Parteien als Cryptohopper weiter, sondern geben Sie uns eine angemessene Zeit, um das Problem zu lösen, bevor Sie es der Öffentlichkeit oder Dritten mitteilen.
  • Verwende keine Social Engineering-Methoden, um Zugang zu einem System zu erhalten.
  • Installiere keine Hintertüren – nicht einmal zum Nachweis der Systemverwundbarkeit. Hintertüren gefährden die Sicherheit der Systeme.
  • Ändere oder lösche keine Informationen im System. Wenn du Informationen für deine Untersuchung kopieren musst, kopiere niemals mehr als du benötigst. Wenn ein Datensatz ausreichend ist, gehe nicht weiter.
  • Verändere das System nicht in irgendeiner Weise
  • Kein unbefugter Zugriff auf Systeme. Dringe nur dann ein, wenn es absolut notwendig ist. Teile den Zugriff nicht mit anderen.
  • Verwende keine Brute-Force-Techniken, wie z. B. die wiederholte Eingabe von Passwörtern, um Zugang zu Systemen zu erhalten.
  • Sichere deine eigenen Systeme so gut wie möglich ab

Belohnungen

Unser Prämiensystem ist flexibel und hat keinen Mindest- oder Höchstbetrag; die Prämien richten sich nach Schweregrad, Auswirkung und Qualität des Berichts. Um eine Belohnung zu erhalten, müssen Sie Ihren Wohnsitz in einem Land haben, das nicht auf Sanktionslisten steht (z.B. Kuba, Iran, Nordkorea, Sudan und Syrien). Dies ist ein Ermessensprogramm und Cryptohopper behält sich das Recht vor, das Programm zu beenden; die Entscheidung, ob eine Belohnung ausgezahlt wird, liegt in unserem Ermessen.

Zusätzliche Überlegungen:

  • Wenn es zu Doppelmeldungen kommt, wird nur die erste Meldung berücksichtigt, die wir erhalten.
  • Für mehrere Sicherheitslücken, die durch ein einziges Problem verursacht werden, wird ein Kopfgeld ausgesetzt.
  • Unsere Techniker müssen in der Lage sein, die Sicherheitslücke aus Ihrem Bericht zu reproduzieren. Berichte, die zu vage oder unklar sind, kommen nicht für eine Belohnung in Frage. Berichte, die klar formulierte Erklärungen und funktionierenden Code enthalten, werden mit größerer Wahrscheinlichkeit belohnt.
FAQ
Häufig gestellte Fragen
Cryptohopper weiß deine Bemühungen, uns bei der Sicherung unserer Systeme und Prozesse zu unterstützen, sehr zu schätzen. Abhängig von der Auswirkung werden wir die Belohnung bestimmen. Die Belohnung ist nicht immer Geld, sondern kann auch in Form von Cryptohopper-Abonnements sein
Veröffentliche niemals Schwachstellen in unseren IT-Systemen oder deine Ermittlungen, ohne uns vorher zu konsultieren. Gemeinsam können wir verhindern, dass Kriminelle deine Informationen missbrauchen. Bitte wende dich an unsere Sicherheitsexperten und gib uns Zeit, das Problem zu lösen
Ja, das kannst du. Du musst uns deinen Namen und deine Kontaktdaten nicht angeben, wenn du eine Sicherheitslücke meldest. Bitte beachte jedoch, dass wir nicht mit dir über weitere Maßnahmen, z.B. was wir mit deinem Bericht tun, weitere Zusammenarbeit oder eine Belohnung, kommunizieren können.
Bitte senden Sie die Sicherheitsprobleme an [email protected] unter Verwendung des PGP-Schlüssels, den Sie in der Dokumentation des Security Bounty Programms finden
Lade die App aus dem Apple App Store herunterLade die App aus dem Google Store herunter
Folge Cryptohopper
EN
EN
NL
NL
CZ
CZ
DE
DE
ES
ES
FR
FR
ID
ID
JP
JP
KR
KO
PL
PL
PT-BR
BR
RU
RU
TR
TR
ZH-CN
ZH

Haftungsausschluss: Cryptohopper ist keine regulierte Einheit. Der Handel mit Kryptowährungs-Bots birgt erhebliche Risiken, und vergangene Ergebnisse sind kein Indikator für zukünftige Ergebnisse. Die in den Produkt-Screenshots gezeigten Gewinne dienen nur zu illustrativen Zwecken und können übertrieben sein. Engagiere dich nur im Bot-Handel, wenn du über ausreichendes Wissen verfügst oder Beratung von einem qualifizierten Finanzberater einholst. Cryptohopper übernimmt unter keinen Umständen Haftung für (a) jeglichen Verlust oder Schaden, ganz oder teilweise, der durch Transaktionen mit unserer Software verursacht wird, oder in Zusammenhang damit entsteht, oder (b) jegliche direkte, indirekte, besondere, Folge- oder zufällige Schäden. Bitte beachte, dass der Inhalt, der auf der Cryptohopper Social-Trading-Plattform verfügbar ist, von Mitgliedern der Cryptohopper-Community generiert wird und keine Ratschläge oder Empfehlungen von Cryptohopper oder in seinem Namen darstellt. Gewinne, die auf dem Marketplace gezeigt werden, sind keine Indikatoren für zukünftige Ergebnisse. Durch die Nutzung der Dienste von Cryptohopper erkennst du die inhärenten Risiken des Kryptowährungshandels an und stimmst zu, Cryptohopper von jeglichen Haftungsansprüchen oder Verlusten freizustellen. Es ist wichtig, unsere Nutzungsbedingungen und unsere Risikohinweise zu überprüfen und zu verstehen, bevor du unsere Software verwendest oder an Handelsaktivitäten teilnimmst. Bitte konsultiere rechtliche und finanzielle Fachleute für personalisierte Ratschläge, die auf deine spezifischen Umstände zugeschnitten sind.

©2017 - 2024 Copyright by Cryptohopper™ - Alle Rechte vorbehalten.