Programa de recompensas de seguridad
Ninguna tecnología es perfecta. En Cryptohopper, siempre queremos asegurarnos de que los comerciantes puedan gestionar sus carteras sin necesidad de preocuparse por sus datos y la ejecución de sus operaciones. Si encuentras algo que potencialmente afecte a la seguridad de nuestros usuarios, agradecemos tu ayuda y recompensamos la información procesable
En el alcance
Puedes presentar cualquier número de vulnerabilidades en nuestros sistemas. Sin embargo, no todas las vulnerabilidades son iguales. Si encuentras una vulnerabilidad en las siguientes categorías, ponte en contacto con nosotros lo antes posible
Los siguientes dominios y aplicaciones pueden optar a las recompensas de este programa
- Vulnerabilidades de inyección SQL
- Vulnerabilidades de cifrado
- Ejecución remota de código
- Evasión de autenticación, acceso no autorizado a datos
- Entidad externa XML
- Carga de cubos S3
- Falsificación de peticiones del lado del servidor
Los siguientes dominios y aplicaciones pueden optar a las recompensas de este programa:
- www.cryptohopper.com
- api.cryptohopper.com
- Aplicación iOS en Apple Store: cryptohopper-crypto-trading/id1463052050
- Aplicación Android en Google Play Store: com.cryptohopper_mobile
Fuera de alcance
No se aceptan candidaturas en las siguientes categorías:
- Posibilidad de crear cuentas de usuario sin límites
- Capacidad para realizar una acción no disponible a través de la interfaz de usuario sin riesgos de seguridad identificados.
- Posibilidad de enviar correos electrónicos sin control sobre el contenido y sin límites
- Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS)
- Ataques que requieren MiTM o acceso físico al dispositivo de un usuario.
- Clickjacking
- Suplantación de contenidos e inyección de texto
- Inyección de CSV sin demostrar una vulnerabilidad
- Revelación de información no sensible, como la versión del producto, la ruta del archivo en un servidor, el seguimiento del stack, etc.
- Revelación del origen y direcciones IP privadas o dominios que apuntan a direcciones IP privadas
- Filtración de tokens sensibles (por ejemplo, token de restablecimiento de contraseña) a terceros de confianza en conexión segura (HTTPS).
- Falta de buenas prácticas en la configuración de SSL/TLS
- Falta de buenas prácticas en la configuración de DNS (DKIM/DMARC/SPF/TXT)
- Falta de buenas prácticas en las cabeceras HTTP sin demostrar una vulnerabilidad
- Notificaciones faltantes sobre acciones importantes
- Ausencia de mecanismo de protección o mejores prácticas sin demostración del impacto real en la seguridad para el usuario o el sistema
- Bibliotecas vulnerables previamente conocidas sin una prueba de concepto operativa
- Informes que sólo incluyen volcados de datos o resultados de herramientas automatizadas sin una prueba de concepto operativa.
- No autenticado/inicio de sesión/cierre de sesión CSRF
- Enumeración de usuarios
- Vectores que requieren un entorno sin parches (por ejemplo, actualizaciones de Windows que faltan)
- Vectores que requieren versiones del navegador publicadas 6 o más meses antes de la presentación del informe
- Falta la limitación de la tasa en los puntos finales
- Falsificación de petición en sitios cruzados (CSRF)
Cómo presentar una vulnerabilidad
Puedes enviarnos vulnerabilidades por correo electrónico a [email protected].
Indica de forma concisa en tu correo electrónico qué vulnerabilidad has encontrado. En particular, incluye lo siguiente en tu correo electrónico:
- Qué vulnerabilidad
- Los pasos que seguiste
- La URL completa
- Objetos (como filtros o campos de entrada) implicados
- Las capturas de pantalla y los vídeos de pantalla son muy apreciados
- Proporciona tu dirección IP en el informe de errores, que se mantendrá privada y se utilizará para realizar un seguimiento de tus actividades de prueba y revisar los registros por nuestra parte.
- Describe el problema encontrado de la forma más explícita y detallada posible y aporta las pruebas de que dispongas. Puedes suponer que la notificación será recibida por especialistas.
Reglas
Asume tu responsabilidad y actúa con extremo cuidado y precaución. Cuando investigues el asunto, utiliza únicamente los métodos o técnicas que sean necesarios para encontrar o demostrar las vulnerabilidades.
- Sé un hacker ético y respeta la privacidad de los demás usuarios
- No utilices las vulnerabilidades que descubra para fines distintos de tu propia investigación.
- No reveles las vulnerabilidades a otras partes después de Cryptohopper, danos un tiempo razonable para resolver el problema antes de revelarlo al público o a terceros.
- No utilices la ingeniería social para acceder a un sistema
- No instales puertas traseras, ni siquiera para demostrar la vulnerabilidad de un sistema. Las puertas traseras comprometerán la seguridad de los sistemas
- No alteres ni borres ninguna información del sistema. Si necesitas copiar información para tu investigación, no copies nunca más de lo que necesites. Si un registro es suficiente, no vayas más lejos.
- No alteres el sistema de ninguna manera
- Infíltrate en un sistema solo si es absolutamente necesario. Si consigues infiltrarte en un sistema, no compartas el acceso con otras personas.
- No utilices técnicas de fuerza bruta, como la introducción repetida de contraseñas, para acceder a los sistemas.
- Protege tus propios sistemas de la forma más estricta posible
Recompensas
Mantenemos la flexibilidad con nuestro sistema de recompensas y no tenemos una cantidad mínima/máxima; las recompensas se basan en la gravedad, el impacto y la calidad del informe. Para recibir una recompensa, debes residir en un país que no figure en las listas de sanciones (por ejemplo, Cuba, Irán, Corea del Norte, Sudán y Siria). Este es un programa discrecional y Cryptohopper se reserva el derecho de cancelar el programa; la decisión de pagar o no una recompensa queda a nuestra discreción.
Consideraciones adicionales:
- En caso de duplicados, sólo se premiará el primer informe que se reciba.
- Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa.
- Nuestros ingenieros deben ser capaces de reproducir el fallo de seguridad a partir del informe. Los informes demasiado vagos o poco claros no pueden optar a recompensa. Los informes que incluyen explicaciones escritas con claridad y código de trabajo tienen más probabilidades de obtener recompensas.