Program Security Bounty

Tidak ada teknologi yang sempurna. Di Cryptohopper, kami selalu ingin memastikan bahwa para trader dapat mengelola portofolio mereka tanpa perlu mengkhawatirkan data dan eksekusi trading mereka. Jika Anda menemukan sesuatu yang berpotensi memengaruhi keamanan pengguna kami, kami menghargai bantuan Anda dan memberikan informasi yang dapat ditindaklanjuti

Dalam Cakupan

Anda bisa mengirimkan sejumlah kerentanan dalam sistem kami. Namun, tidak semua kerentanan sama. Jika Anda menemukan kerentanan dalam kategori berikut ini, silakan hubungi kami sesegera mungkin


Domain dan aplikasi berikut memenuhi syarat untuk mendapatkan hadiah dalam program ini

  • Kerentanan injeksi SQL
  • Kerentanan enkripsi
  • Eksekusi kode jarak jauh
  • Bypass otentikasi, akses data yang tidak sah
  • Entitas eksternal XML
  • Unggahan bucket S3
  • Pemalsuan permintaan sisi server

Domain dan aplikasi berikut ini memenuhi syarat untuk mendapatkan hadiah dalam program ini:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • Aplikasi iOS di Apple Store: cryptohopper-crypto-trading/id1463052050
  • Aplikasi Android di Google Play Store: com.cryptohopper_mobile

Di luar Cakupan

Kami tidak menerima kiriman dalam kategori berikut ini:

  • Kemampuan untuk membuat akun pengguna tanpa batas
  • Kemampuan untuk melakukan tindakan yang tidak tersedia melalui antarmuka pengguna tanpa risiko keamanan yang teridentifikasi
  • Kemampuan untuk mengirim email tanpa kendali atas konten tanpa batas
  • Aktivitas apa pun yang dapat menyebabkan gangguan pada layanan kami (DoS)
  • Serangan yang membutuhkan MiTM atau akses fisik ke perangkat pengguna
  • Clickjacking
  • Spoofing konten dan injeksi teks
  • Injeksi CSV tanpa menunjukkan kerentanan
  • Pengungkapan informasi yang tidak sensitif, seperti versi produk, jalur file di server, jejak tumpukan, dll.
  • Pengungkapan alamat IP asal dan alamat IP pribadi atau domain yang mengarah ke alamat IP pribadi
  • Kebocoran token sensitif (misalnya token pengaturan ulang kata sandi) kepada pihak ketiga yang tepercaya pada koneksi aman (HTTPS)
  • Praktik terbaik hilang dalam konfigurasi SSL/TLS
  • Tidak adanya praktik terbaik dalam konfigurasi DNS (DKIM/DMARC/SPF/TXT)
  • Hilangnya praktik terbaik dalam header HTTP tanpa menunjukkan kerentanan
  • Pemberitahuan yang terlewatkan tentang tindakan penting
  • Tidak adanya mekanisme perlindungan atau praktik terbaik tanpa adanya demonstrasi dampak keamanan yang nyata bagi pengguna atau sistem
  • Pustaka yang sebelumnya diketahui rentan tanpa bukti konsep yang berfungsi
  • Laporan yang hanya menyertakan crash dump atau keluaran alat otomatis tanpa bukti konsep yang berfungsi
  • CSRF yang tidak diautentikasi / masuk / keluar
  • Enumerasi pengguna
  • Vektor yang membutuhkan lingkungan yang belum ditambal (misalnya pembaruan Windows yang tidak ada)
  • Vektor yang memerlukan versi browser yang dirilis 6 bulan atau lebih sebelum penyerahan laporan
  • Pembatasan laju yang hilang pada titik akhir
  • Pemalsuan Permintaan Lintas Situs (CSRF)

Cara mengirimkan kerentanan

Anda dapat mengirimkan kerentanan kepada kami melalui email ke [email protected].

Sebutkan secara singkat dalam email Anda kerentanan apa yang Anda temukan. Secara khusus sertakan hal-hal berikut ini dalam email Anda:

  • Kerentanan yang mana
  • Langkah-langkah yang Anda lakukan
  • Seluruh URL
  • Objek (sebagai filter atau bidang entri) yang terlibat
  • Tangkapan layar dan video layar sangat dihargai
  • Berikan alamat IP Anda dalam laporan bug, yang akan dirahasiakan dan digunakan untuk melacak aktivitas pengujian Anda dan meninjau log dari pihak kami
  • Jelaskan masalah yang Anda temukan sejelas dan sedetail mungkin dan berikan bukti yang mungkin Anda miliki. Anda dapat mengasumsikan bahwa notifikasi akan diterima oleh spesialis

Aturan

Bertanggung jawab dan bertindaklah dengan sangat hati-hati dan cermat. Saat menyelidiki masalah ini, hanya gunakan metode atau teknik yang diperlukan untuk menemukan atau menunjukkan kerentanan

  • Jadilah peretas yang beretika dan hormati privasi pengguna lain
  • Jangan gunakan kerentanan yang Anda temukan untuk tujuan selain penyelidikan Anda sendiri
  • Jangan mengungkapkan kerentanan kepada pihak lain selain Cryptohopper, berikan kami waktu yang wajar untuk menyelesaikan masalah sebelum pengungkapan kepada publik atau pihak ketiga
  • Jangan gunakan rekayasa sosial untuk mendapatkan akses ke sistem
  • Jangan memasang back door - bahkan untuk menunjukkan kerentanan sistem. Back door akan membahayakan keamanan sistem
  • Jangan mengubah atau menghapus informasi apa pun di dalam sistem. Jika Anda perlu menyalin informasi untuk investigasi Anda, jangan pernah menyalin lebih dari yang Anda butuhkan. Jika satu catatan sudah cukup, jangan melangkah lebih jauh
  • Jangan mengubah sistem dengan cara apa pun
  • Susup ke dalam sebuah sistem hanya jika benar-benar diperlukan. Jika Anda berhasil menyusup ke sebuah sistem, jangan berbagi akses dengan orang lain
  • Jangan gunakan teknik brute force, seperti memasukkan kata sandi berulang kali, untuk mendapatkan akses ke sistem
  • Amankan sistem Anda sendiri seketat mungkin

Penghargaan

Kami menjaga fleksibilitas dengan sistem penghargaan kami, dan tidak memiliki jumlah minimum/maksimum; penghargaan didasarkan pada tingkat keparahan, dampak, dan kualitas laporan. Untuk menerima hadiah, Anda harus tinggal di negara yang tidak termasuk dalam daftar sanksi (misalnya, Kuba, Iran, Korea Utara, Sudan & Suriah). Ini adalah program kebijaksanaan dan Cryptohopper berhak untuk membatalkan program ini; keputusan apakah akan membayar hadiah adalah atas kebijakan kami

Pertimbangan tambahan:

  • Ketika terjadi duplikasi, kami hanya memberikan laporan pertama yang kami terima
  • Beberapa kerentanan yang disebabkan oleh satu masalah yang mendasari akan diberikan satu bounty
  • Teknisi kami harus dapat mereproduksi cacat keamanan dari laporan Anda. Laporan yang terlalu samar atau tidak jelas tidak memenuhi syarat untuk mendapatkan hadiah. Laporan yang menyertakan penjelasan dan kode kerja yang ditulis dengan jelas akan lebih berpeluang mendapatkan hadiah
Pertanyaan Sering Diajukan
Pertanyaan yang sering diajukan
Cryptohopper sangat menghargai usaha Anda dalam membantu kami mengamankan sistem dan proses kami. Tergantung pada dampaknya, kami akan menentukan imbalannya. Hadiah tidak selalu berupa uang tetapi juga dapat berupa paket langganan Cryptohopper
Jangan pernah mempublikasikan kerentanan dalam sistem TI kami atau investigasi Anda tanpa berkonsultasi terlebih dahulu dengan kami. Kita dapat bekerja sama untuk mencegah penjahat menyalahgunakan informasi Anda. Silakan berkonsultasi dengan pakar keamanan kami dan beri kami waktu untuk menyelesaikan masalah
Ya, Anda bisa. Anda tidak perlu memberikan nama dan detail kontak saat melaporkan kerentanan. Namun, harap diingat bahwa kami tidak akan dapat berkonsultasi dengan Anda mengenai langkah-langkah tindak lanjut, misalnya apa yang akan kami lakukan terhadap laporan Anda, kolaborasi lebih lanjut, atau mengirimkan hadiah.
Kirimkan masalah keamanan ke [email protected] dengan menggunakan kunci PGP yang disediakan dalam dokumentasi Security Bounty Program
Unduh aplikasi dari Apple App StoreUnduh aplikasi dari Google Store
Ikuti kami di media sosial
EN
EN
NL
NL
CZ
CZ
DE
DE
ES
ES
FR
FR
ID
ID
JP
JP
KR
KO
PL
PL
PT-BR
BR
RU
RU
TR
TR
ZH-CN
ZH

Disclaimer: Cryptohopper bukanlah entitas teregulasi. Bot trading mata uang kripto melibatkan risiko besar, dan kinerja masa lalu tidak merefleksikan hasil di masa depan. Keuntungan yang ditampilkan dalam tangkapan layar produk hanya untuk tujuan ilustrasi dan mungkin terkesan dibesar-besarkan. Bergabunglah trading bot hanya jika Anda memiliki pengetahuan yang cukup atau mencari panduan dari penasihat keuangan yang terkualifikasi. Dalam situasi apa pun Cryptohopper tidak akan bertanggung jawab kepada orang atau entitas mana pun atas (a) kerugian atau kerusakan, secara keseluruhan atau sebagian, yang disebabkan oleh, yang timbul dari, atau sehubungan dengan transaksi yang melibatkan perangkat lunak kami atau (b) kerugian langsung, tidak langsung, khusus, konsekuensial, atau insidental. Harap dicatat bahwa konten yang tersedia di platform trading sosial Cryptohopper dibuat oleh anggota komunitas Cryptohopper dan bukan merupakan saran atau rekomendasi dari Cryptohopper atau atas namanya. Keuntungan yang ditampilkan di Marketplace tidak merefleksikan hasil di masa depan. Dengan menggunakan layanan Cryptohopper, Anda mengakui dan menerima risiko yang terkait dalam trading mata uang kripto dan setuju untuk membebaskan Cryptohopper dari segala kewajiban atau kerugian yang terjadi. Peninjauan dan pemahaman atas Ketentuan Layanan dan Kebijakan Pengungkapan Risiko kami sangatlah penting sebelum Anda menggunakan perangkat lunak kami atau terlibat dalam aktivitas trading apa pun. Silakan berkonsultasi dengan profesional hukum dan keuangan untuk mendapatkan saran yang dipersonalisasi berdasarkan keadaan spesifik Anda.

©2017 - 2024 Hak cipta oleh Cryptohopper™ - Semua hak dilindungi undang-undang.