Security Bounty Programma

Geen enkele technologie is perfect. Bij Cryptohopper willen we er altijd voor zorgen dat handelaren hun portefeuilles kunnen beheren zonder zich zorgen te hoeven maken over hun gegevens en de uitvoering van hun transacties. Als je iets vindt dat mogelijk de veiligheid van onze gebruikers beïnvloedt, waarderen we je hulp en belonen we bruikbare informatie

In reikwijdte

Je kunt een willekeurig aantal kwetsbaarheden in onze systemen indienen. Niet alle kwetsbaarheden zijn echter gelijk. Als je een kwetsbaarheid vindt in de volgende categorieën, neem dan zo snel mogelijk contact met ons op


De volgende domeinen en apps komen in aanmerking voor beloningen onder dit programma

  • SQL-injectiekwetsbaarheden
  • Kwetsbaarheden in encryptie
  • Executie van code op afstand
  • Authenticatieomleiding, onbevoegde gegevenstoegang
  • Externe XML entiteit
  • S3 Bucket Upload
  • Server-Side Request Forgery

De volgende domeinen en apps komen in aanmerking voor beloningen onder dit programma:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • iOS-toepassing in Apple Store: cryptohopper-crypto-trading/id1463052050
  • Android-toepassing op Google Play Store: com.cryptohopper_mobile

Buiten bereik

We accepteren geen inzendingen in de volgende categorieën:

  • Mogelijkheid om gebruikersaccounts zonder limieten aan te maken
  • Mogelijkheid om een actie uit te voeren die niet beschikbaar is via de gebruikersinterface zonder geïdentificeerde beveiligingsrisico's
  • Mogelijkheid om e-mails te versturen zonder controle over de inhoud zonder beperkingen
  • Elke activiteit die kan leiden tot de verstoring van onze service (DoS)
  • Aanvallen waarvoor MiTM of fysieke toegang tot een apparaat van een gebruiker nodig is
  • Clickjacking
  • Inhoud spoofen en tekstinjectie
  • CSV-injectie zonder een kwetsbaarheid aan te tonen
  • Openbaarmaking van niet-gevoelige informatie, zoals productversie, bestandspad op een server, stack trace, enz.
  • Openbaarmaking van herkomst en privé-IP-adressen of domeinen die naar privé-IP-adressen verwijzen
  • Lekken van gevoelige tokens (bijv. wachtwoord reset token) naar vertrouwde derde partijen op beveiligde verbinding (HTTPS)
  • Ontbrekende best practices in SSL/TLS-configuratie
  • Ontbrekende best practices in DNS-configuratie (DKIM/DMARC/SPF/TXT)
  • Best practices in HTTP-headers missen zonder een kwetsbaarheid aan te tonen
  • Ontbrekende meldingen over belangrijke acties
  • Ontbrekende beschermingsmechanismen of best practices zonder aantoonbare gevolgen voor de veiligheid van de gebruiker of het systeem
  • Eerder bekende kwetsbare bibliotheken zonder werkend proof of concept
  • Rapporten die alleen crash dumps of uitvoer van geautomatiseerde tools bevatten zonder een werkend proof of concept
  • Ongeauthenticeerd/in/inloggen CSRF
  • Gebruiker opsomming
  • Vectoren die een ongepatchte omgeving vereisen (bijv. ontbrekende Windows-updates)
  • Vectoren die browserversies vereisen die 6 of meer maanden voor het indienen van het rapport zijn uitgebracht
  • Ontbreekt snelheidsbegrenzing op endpoints
  • Cross-Site Request Forgery (CSRF)

Een kwetsbaarheid indienen

Je kunt kwetsbaarheden naar ons e-mailen op [email protected].

Geef in je e-mail beknopt aan welke kwetsbaarheid je hebt gevonden. Vermeld in het bijzonder het volgende in je e-mail:

  • Welke kwetsbaarheid
  • De stappen die je hebt ondernomen
  • De volledige URL
  • Objecten (als filters of invoervelden) betrokken
  • Screenshots en schermvideo's worden zeer op prijs gesteld
  • Geef je IP-adres op in het bugrapport, dat privé wordt gehouden en wordt gebruikt voor het volgen van je testactiviteiten en het bekijken van de logboeken van onze kant
  • Beschrijf het gevonden probleem zo expliciet en gedetailleerd mogelijk en voeg eventueel bewijs toe. U kunt ervan uitgaan dat de melding wordt ontvangen door specialisten

Regels

Neem verantwoordelijkheid en handel met uiterste zorgvuldigheid en voorzichtigheid. Gebruik bij het onderzoek alleen methoden of technieken die nodig zijn om de kwetsbaarheden te vinden of aan te tonen.

  • Wees een ethische hacker en respecteer de privacy van andere gebruikers
  • Gebruik kwetsbaarheden die je ontdekt niet voor andere doeleinden dan je eigen onderzoek
  • Maak kwetsbaarheden niet bekend aan andere partijen dan Cryptohopper, geef ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat het bekend wordt gemaakt aan het publiek of een derde partij.
  • Gebruik geen social engineering om toegang te krijgen tot een systeem
  • Installeer geen achterdeurtjes, zelfs niet om de kwetsbaarheid van een systeem aan te tonen. Achterdeuren brengen de beveiliging van het systeem in gevaar
  • Wijzig of verwijder geen informatie in het systeem. Als je informatie moet kopiëren voor je onderzoek, kopieer dan nooit meer dan je nodig hebt. Als één record voldoende is, ga dan niet verder.
  • Wijzig het systeem op geen enkele manier
  • Infiltreer een systeem alleen als dat absoluut noodzakelijk is. Als het je lukt om een systeem te infiltreren, deel de toegang dan niet met anderen
  • Gebruik geen brute force-technieken, zoals het herhaaldelijk invoeren van wachtwoorden, om toegang te krijgen tot systemen
  • Beveilig je eigen systemen zo goed mogelijk

Beloningen

We behouden flexibiliteit met ons beloningssysteem en hebben geen minimum/maximumbedrag; beloningen zijn gebaseerd op ernst, impact en rapportkwaliteit. Om een beloning te ontvangen, moet u woonachtig zijn in een land dat niet op sanctielijsten staat (bijv. Cuba, Iran, Noord-Korea, Soedan & Syrië). Dit is een discretionair programma en Cryptohopper behoudt zich het recht voor om het programma te annuleren; de beslissing om al dan niet een beloning uit te betalen is onze discretie.

Extra overwegingen:

  • Als er duplicaten zijn, kennen we alleen het eerste rapport toe dat we ontvangen
  • Meerdere kwetsbaarheden die worden veroorzaakt door één onderliggend probleem worden beloond met één bounty
  • Onze technici moeten het beveiligingslek uit je rapport kunnen reproduceren. Rapporten die te vaag of onduidelijk zijn, komen niet in aanmerking voor een beloning. Rapporten met duidelijk geschreven uitleg en werkende code hebben meer kans op een beloning.
FAQ
Veelgestelde vragen
Cryptohopper waardeert het zeer dat je ons helpt bij het beveiligen van onze systemen en processen. Afhankelijk van de impact bepalen we de beloning. De beloning is niet altijd in geld, maar kan ook in de vorm van Cryptohopper abonnementen zijn.
Maak kwetsbaarheden in onze IT-systemen of je onderzoek nooit openbaar zonder eerst met ons te overleggen. We kunnen samenwerken om te voorkomen dat criminelen misbruik maken van jouw informatie. Overleg met onze beveiligingsexperts en geef ons de tijd om het probleem op te lossen.
Ja, dat kan. U hoeft ons jouw naam en contactgegevens niet te geven wanneer je een kwetsbaarheid meldt. Realiseer je zich echter wel dat we niet met je kunnen overleggen over vervolgmaatregelen, bijvoorbeeld wat we met jouw melding doen, verdere samenwerking, of een beloning sturen.
Stuur de beveiligingsproblemen naar [email protected] met behulp van de PGP-sleutel uit de documentatie van het Security Bounty Programma
Download de app uit de Apple App StoreDownload de app uit de Google Store
Volg ons op social media
EN
EN
NL
NL
CZ
CZ
DE
DE
ES
ES
FR
FR
ID
ID
JP
JP
KR
KO
PL
PL
PT-BR
BR
RU
RU
TR
TR
ZH-CN
ZH

Disclaimer: Cryptohopper is geen gereguleerde entiteit. De handel in cryptocurrency bots brengt aanzienlijke risico's met zich mee en in het verleden behaalde resultaten bieden geen garantie voor de toekomst. De winsten getoond in product screenshots zijn voor illustratieve doeleinden en kunnen overdreven zijn. Doe alleen aan bothandel als u over voldoende kennis beschikt of vraag advies aan een gekwalificeerd financieel adviseur. In geen geval aanvaardt Cryptohopper enige aansprakelijkheid jegens enige persoon of entiteit voor (a) enig verlies of schade, geheel of gedeeltelijk, veroorzaakt door, voortvloeiend uit of in verband met transacties met onze software of (b) enige directe, indirecte, speciale, gevolg- of incidentele schade. Houd er rekening mee dat de inhoud die beschikbaar is op het Cryptohopper sociale handelsplatform is gegenereerd door leden van de Cryptohopper gemeenschap en geen advies of aanbevelingen van Cryptohopper of namens haar vormt. Winsten getoond op de Marktplaats zijn niet indicatief voor toekomstige resultaten. Door gebruik te maken van de diensten van Cryptohopper, erkent en aanvaardt u de inherente risico's die betrokken zijn bij de handel in cryptocurrency en gaat u ermee akkoord Cryptohopper te vrijwaren van eventuele aansprakelijkheden of opgelopen verliezen. Het is essentieel om onze Servicevoorwaarden en Risicobeleid te lezen en te begrijpen voordat u onze software gebruikt of deelneemt aan handelsactiviteiten. Raadpleeg juridische en financiële professionals voor persoonlijk advies op basis van uw specifieke omstandigheden.

©2017 - 2024 Copyright door Cryptohopper™ - Alle rechten voorbehouden.