Program nagród za bezpieczeństwo

W Cryptohopper zdajemy sobie sprawę, że żadna technologia nie jest doskonała. Naszym celem jest zapewnienie, aby nasi traderzy mogli zarządzać swoimi portfelami bez obaw o bezpieczeństwo swoich danych i realizację transakcji. Jeżeli zauważysz coś, co może zagrażać bezpieczeństwu naszych użytkowników, jesteśmy wdzięczni za pomoc i gotowi nagrodzić za cenne informacje.

W zakresie

Możesz zgłosić nieograniczoną liczbę luk w naszych systemach. Wszystkie luki nie są jednak takie same. Jeśli odkryjesz lukę w poniższych kategoriach, prosimy o jak najszybszy kontakt z nami


Następujące domeny i aplikacje kwalifikują się do nagród w ramach tego programu

  • Luki w zabezpieczeniach typu SQL Injection
  • Luki w zabezpieczeniach szyfrowania
  • Zdalne wykonanie kodu
  • Obejście uwierzytelniania, nieautoryzowany dostęp do danych
  • Podmiot zewnętrzny XML
  • Wysyłanie do zasobnika S3
  • Fałszowanie żądań po stronie serwera

Następujące domeny i aplikacje kwalifikują się do nagród w ramach tego programu:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • Aplikacja iOS w Apple Store: cryptohopper-crypto-trading/id1463052050
  • Aplikacja na Androida w sklepie Google Play: com.cryptohopper_mobile

Poza zakresem

Nie przyjmujemy zgłoszeń w następujących kategoriach:

  • Możliwość tworzenia kont użytkowników bez żadnych ograniczeń
  • Możliwość wykonania akcji niedostępnej za pośrednictwem interfejsu użytkownika bez zidentyfikowanych zagrożeń bezpieczeństwa
  • Możliwość wysyłki e-maili bez kontroli nad zawartością i bez żadnych limitów
  • Wszelkie działania, które mogą prowadzić do zakłócenia działania naszych usług (DoS).
  • Ataki wymagające MiTM lub fizycznego dostępu do urządzenia użytkownika
  • Clickjacking
  • Manipulacja treścią i wprowadzanie tekstu
  • CSV injection bez wykazywania podatności
  • Zasada otwartości informacji niewrażliwych, takich jak wersja produktu, ścieżka dostępu do pliku na serwerze, stos wywołań, itp.
  • Ujawnienie pochodzenia i prywatnych adresów IP lub domen wskazujących na prywatne adresy IP
  • Przeciek wrażliwych tokenów (na przykład token resetowania hasła) do zaufanych stron trzecich podczas bezpiecznego połączenia (HTTPS)
  • Nie zastosowano najlepszych praktyk w konfiguracji SSL/TLS
  • Brakujące najlepsze praktyki w konfiguracji DNS (DKIM/DMARC/SPF/TXT)
  • Nie wykazano luki w zabezpieczeniach pomimo braku najlepszych praktyk w nagłówkach HTTP
  • Brakujące powiadomienia o istotnych czynnościach
  • Brakujący mechanizm ochrony lub najlepsze praktyki bez dowodzenia rzeczywistego wpływu na bezpieczeństwo użytkownika lub systemu.
  • Poprzednio znane biblioteki podatne na ataki, bez udowodnionej słuszności koncepcji)
  • Raporty, które zawierają jedynie zrzuty awaryjne lub wyniki z automatycznych narzędzi, ale nie zawierają praktycznego dowodu na poprawność koncepcji.
  • Nieuwierzytelnione/logowanie/wylogowanie CSRF
  • Wyszczególnienie użytkowników
  • Wektory, które potrzebują środowiska bez zainstalowanych poprawek (na przykład brakujące aktualizacje Windows)
  • Wektory, które wymagają wersji przeglądarki wydanej co najmniej 6 miesięcy przed zgłoszeniem raportu
  • Brak ograniczenia szybkości w punktach końcowych
  • Cross-Site Request Forgery (CSRF)

Jak zgłosić lukę w zabezpieczeniach

Luki w zabezpieczeniach można przesyłać do nas pocztą elektroniczną na adres [email protected].

W swoim e-mailu krótko opisz wykrytą lukę bezpieczeństwa. W szczególności dołącz do swojego e-maila następujące informacje:

  • Która słabość
  • Podjęte kroki
  • Cały adres URL
  • Obiekty zaangażowane (takie jak filtry lub pola wprowadzania)
  • Zrzuty ekranu i filmy z ekranu są bardzo mile widziane
  • Podaj swój adres IP w raporcie o błędzie. Będzie on traktowany jako prywatny i wykorzystany do monitorowania twoich działań testowych oraz do przeglądania logów z naszej strony.
  • Opisz napotkany problem jak najbardziej precyzyjnie i szczegółowo, dostarczając wszelkich dostępnych dowodów. Możesz założyć, że powiadomienie trafi do specjalistów

Zasady

Weź na siebie odpowiedzialność i działaj z najwyższą ostrożnością i rozwagą. Podczas badania sprawy używaj tylko metod lub technik, które są niezbędne do znalezienia lub zademonstrowania luk w zabezpieczeniach.

  • Bądź etycznym hakerem i szanuj prywatność innych użytkowników.
  • Nie należy wykorzystywać wykrytych luk w zabezpieczeniach do celów innych niż własne dochodzenie
  • Nie ujawniaj luk w zabezpieczeniach innym stronom niż Cryptohopper, daj nam rozsądną ilość czasu na rozwiązanie problemu przed ujawnieniem go publicznie lub stronie trzeciej.
  • Nie używaj inżynierii społecznej w celu uzyskania dostępu do systemu.
  • Nie instaluj żadnych backdoorów – nawet jeżeli Twoim celem jest zademonstrowanie podatności systemu na ataki. Backdoory naruszą bezpieczeństwo systemów
  • Nie wprowadzaj zmian ani nie usuwaj żadnych danych w systemie. W przypadku konieczności skopiowania informacji do celów śledztwa, kopiuj tylko tyle, ile jest Ci potrzebne. Jeśli wystarczy Ci jeden rekord, nie szukaj dalej
  • Nie należy w żaden sposób modyfikować systemu
  • Infiltruj system tylko wtedy, gdy jest to absolutnie konieczne. Jeśli uda Ci się przeniknąć do systemu, nie udostępniaj dostępu innym osobom
  • Unikaj technik polegających na wielokrotnym wpisywaniu haseł, czyli tzw. metod siłowych, aby uzyskać dostęp do systemów.
  • Zabezpiecz własne systemy tak szczelnie, jak to tylko możliwe.

Nagrody

W naszym systemie nagród zachowujemy elastyczność i nie ustalamy minimalnej/maksymalnej kwoty; nagrody są przyznawane na podstawie skutków, wpływu i jakości zgłoszenia. Aby być uprawnionym do otrzymania nagrody, musisz mieszkać w kraju, który nie jest objęty sankcjami (np. Kuba, Iran, Korea Północna, Sudan i Syria). Program jest uznaniowy i Cryptohopper ma prawo do jego anulowania; decyzja o przyznaniu nagrody leży w naszej gestii.

Dodatkowe uwagi:

  • W przypadku duplikatów nagradzamy tylko pierwszy otrzymany raport
  • Wiele luk w zabezpieczeniach spowodowanych przez jeden podstawowy błąd zostanie nagrodzonych jednym wynagrodzeniem
  • Aby nasi inżynierowie mogli odtworzyć zgłoszoną lukę w zabezpieczeniach, zgłoszenia muszą być precyzyjne i jasne. Zbyt ogólnikowe lub niejasne zgłoszenia nie będą brane pod uwagę przy przyznawaniu nagród. Zgłoszenia zawierające klarowne wyjaśnienia i działający kod mają większą szansę na otrzymanie nagrody
FAQ
Często zadawane pytania
Cryptohopper jest bardzo wdzięczny za Twój wkład w pomoc w zabezpieczaniu naszych systemów i procesów. Nagroda zostanie ustalona w zależności od wpływu. Nie zawsze jest ona w formie pieniężnej, może to być również subskrypcja Cryptohopper
Nigdy nie upubliczniaj luk w naszych systemach informatycznych ani swoich dochodzeń bez uprzedniej konsultacji z nami. Możemy współpracować, aby zapobiec wykorzystywaniu informacji przez przestępców. Skonsultuj się z naszymi ekspertami ds. bezpieczeństwa i daj nam czas na rozwiązanie problemu
Tak, możesz. Zgłaszając lukę w zabezpieczeniach, nie musisz podawać nam swojego imienia i nazwiska ani danych kontaktowych. Pamiętaj jednak, że nie będziemy mogli skonsultować się z Tobą w sprawie dalszych działań, np. co zrobimy z Twoim zgłoszeniem, dalszej współpracy lub wysłania nagrody
Prosimy o przesyłanie zgłoszeń problemów bezpieczeństwa na adres [email protected] przy użyciu klucza PGP podanego w dokumentacji programu Security Bounty.
Pobierz aplikację ze sklepu Apple App Store.Pobierz aplikację ze sklepu Google Store.
Śledź nas w mediach społecznościowych
EN
EN
NL
NL
CZ
CZ
DE
DE
ES
ES
FR
FR
ID
ID
JP
JP
KR
KO
PL
PL
PT-BR
BR
RU
RU
TR
TR
ZH-CN
ZH

Informacja: Cryptohopper nie jest regulowanym podmiotem. Handel kryptowalutami za pomocą botów wiąże się z dużym ryzykiem, a wcześniejsze wyniki nie gwarantują przyszłych rezultatów. Prezentowane zyski na zrzutach ekranu produktu mają charakter ilustracyjny i mogą być zawyżone. Podejmuj handel botami tylko wtedy, gdy posiadasz odpowiednią wiedzę lub skonsultuj się z wykwalifikowanym doradcą finansowym. Cryptohopper nie ponosi odpowiedzialności za (a) jakiekolwiek straty lub szkody, całkowite lub częściowe, wynikające z transakcji z wykorzystaniem naszego oprogramowania lub (b) jakiekolwiek szkody bezpośrednie, pośrednie, specjalne, wynikowe lub przypadkowe. Pamiętaj, że treści dostępne na platformie handlu społecznościowego Cryptohopper są tworzone przez członków społeczności Cryptohopper i nie stanowią porad lub zaleceń ze strony Cryptohopper. Zyski prezentowane na Rynku nie są gwarancją przyszłych wyników. Korzystając z usług Cryptohopper, akceptujesz ryzyko związane z handlem kryptowalutami i zobowiązujesz się do niepociągania Cryptohopper do odpowiedzialności za ewentualne straty. Przed korzystaniem z naszego oprogramowania lub podjęciem jakiejkolwiek działalności handlowej, konieczne jest zapoznanie się z naszymi Warunkami świadczenia usług i oświadczenie dot. ujawniania ryzyka. Skonsultuj się z prawnikami i doradcami finansowymi, aby uzyskać porady dostosowane do Twojej sytuacji.

©2017 - 2024 Copyright by Cryptohopper™ - Wszelkie prawa zastrzeżone.