Security Bounty Program

Ни одна технология не является совершенной. В Cryptohopper мы всегда стремимся к тому, чтобы трейдеры могли управлять своими портфелями, не беспокоясь о своих данных и исполнении сделок. Если вы обнаружите что-то, что потенциально может повлиять на безопасность наших пользователей, мы будем признательны за помощь и вознаградим вас за действительно ценную информацию

В масштабах

Вы можете представить любое количество уязвимостей в наших системах. Однако не все уязвимости равнозначны. Если вы обнаружили уязвимость в следующих категориях, пожалуйста, свяжитесь с нами как можно скорее


Следующие домены и приложения имеют право на вознаграждение в рамках данной программы

  • Уязвимости внедрения SQL
  • Уязвимости шифрования
  • Удаленное выполнение кода
  • Обход Аутентификации, Несанкционированный доступ к данным
  • XML Внешний Объект
  • S3 Bucket Загрузка
  • Подделка запросов на стороне сервера

Следующие домены и приложения имеют право на вознаграждение в рамках данной программы:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • iOS приложение в Apple Store: cryptohopper-crypto-trading/id1463052050
  • Приложение для Android в Google Play Store: com.cryptohopper_mobile

Вне сферы действия

Мы не принимаем заявки в следующих категориях:

  • Возможность создавать учетные записи пользователей без каких-либо ограничений
  • Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности
  • Возможность отправлять электронные письма без контроля содержания без каких-либо ограничений
  • Любая деятельность, которая может привести к нарушению работы нашего сервиса (DoS)
  • Атаки, требующие MiTM или физического доступа к устройству пользователя
  • Кликджекинг
  • Подмена содержимого и внедрение текста
  • Добавление CSV без демонстрации уязвимости
  • Раскрытие нечувствительной информации, такой как версия продукта, путь к файлу на сервере, трассировка стека и т.д.
  • Раскрытие происхождения и частных IP-адресов или доменов, указывающих на частные IP-адреса
  • Утечка конфиденциальных tokens (например, token сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS)
  • Пропущены рекомендации по настройке SSL/TLS
  • Отсутствие лучших настроек в конфигурации DNS (DKIM/DMARC/SPF/TXT)
  • Отсутствие лучших настроек в заголовках HTTP без демонстрации уязвимости
  • Отсутствие уведомлений о важных действиях
  • Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы
  • Библиотеки известных уязвимостей, для которых отсутствует рабочее доказательство концепции
  • Отчеты, включающие только crash dumps или результаты работы автоматизированных инструментов без рабочей проверки концепции
  • Неавторизованный/вход/выход CSRF
  • Перечисление пользователей
  • Векторы, требующие непропатченой среды (например, отсутствующие обновления Windows)
  • Векторы, для которых требуются версии браузера, выпущенные за 6 и более месяцев до представления отчета
  • Отсутствует ограничение ставки на конечные точки
  • Межсайтовая подделка запроса (CSRF)

Как отправить информацию об уязвимости

Вы можете сообщить нам об уязвимостях по электронной почте [email protected].

Кратко изложите в своем письме, какую уязвимость вы обнаружили. В частности, укажите в письме следующее:

  • Чья уязвимость
  • Шаги, которые вы предприняли
  • Весь URL
  • Объекты (фильтры или поля ввода) задействованы
  • Скриншоты и видео с экрана высоко ценятся
  • Укажите свой IP-адрес в сообщении об ошибке, который будет сохранен в тайне и будет использоваться для отслеживания вашей деятельности по тестированию и просмотра лог-журналов с нашей стороны
  • Опишите найденную проблему как можно подробнее и предоставьте любые имеющиеся у вас доказательства. Вы можете расчитывать, что уведомление будет получено специалистами

Правила

Возьмите на себя ответственность и действуйте крайне осторожно и осмотрительно. При изучении вопроса используйте только те методы или способы, которые необходимы для поиска или демонстрации уязвимостей

  • Быть этичным хакером и уважать частную жизнь других пользователей
  • Не используйте обнаруженные вами уязвимости для целей, отличных от собственного расследования
  • Не раскрывайте уязвимости другим лицам кроме Cryptohopper, предоставьте нам разумное количество времени для решения проблемы, прежде чем раскрывать её общественности или третьей стороне
  • Не используйте социальную инженерию для получения доступа к системе
  • Не устанавливайте никаких лазеек — даже для демонстрации уязвимости системы. Лазейки поставят под угрозу системную безопасность
  • Не изменяйте и не удаляйте никакую информацию в системе. Если вам необходимо скопировать информацию для расследования, никогда не копируйте больше, чем нужно. Если одной записи достаточно, не нужно копировать лишнее.
  • Не вносите никаких изменений в систему
  • Проникайте в систему только в случае крайней необходимости. Если вы всё же проникли в систему, не делитесь доступом с другими
  • Не используйте методы brute force, в том числе многократный ввод паролей, для получения доступа к системам
  • Обеспечьте максимально возможную защиту собственных систем

Вознаграждения

Мы поддерживаем гибкость в нашей системе наград, не устанавливая минимального/максимального размера; размер награды определяется серьезностью, важностью и качеством отчета. Для получения награды вы должны жить в стране, которая не находится под санкциями (например, Куба, Иран, Северная Корея, Судан и Сирия). Это программа, которую Cryptohopper может по своему усмотрению отменить; решение о выплате награды принимается нашей компанией.

Дополнительные соображения:

  • При возникновении дубликатов мы награждаем только за первый отчет, который мы получили
  • За несколько уязвимостей, вызванных одной основной проблемой, будет присуждена одна награда
  • Наши инженеры должны быть в состоянии воспроизвести дефект безопасности из вашего отчета. Слишком расплывчатые или лишенные конкретики сообщения не имеют права на вознаграждение. Отчеты, содержащие четко сформулированные объяснения и рабочий код, имеют больше шансов на получение вознаграждения.
ЧАСТЫЕ ВОПРОСЫ
Частые вопросы
Cryptohopper высоко ценит ваши усилия по оказанию нам помощи в обеспечении безопасности наших систем и процессов. В зависимости от степени воздействия мы определим размер вознаграждения. Вознаграждение не всегда денежное, оно также может быть в виде подписки на Cryptohopper
Никогда не предавайте огласке об уязвимости в наших ИТ-системах или результаты вашего расследования без предварительной консультации с нами. Мы можем работать вместе, чтобы предотвратить злоупотребление преступниками вашей информацией. Пожалуйста, проконсультируйтесь с нашими экспертами по безопасности и дайте нам время на решение проблемы
Да, вы можете. Вы не обязаны сообщать нам свое имя и контактные данные, когда сообщаете об уязвимости. Но учтите, что мы не сможем консультироваться с вами о принятых мерах, например, о том, что нам делать с вашим сообщением, о дальнейшем сотрудничестве или вознаграждении.
Пожалуйста, отправьте описание проблемы безопасности по адресу [email protected], используя ключ PGP, указанный в документации Security Bounty Program.
Загрузите приложение из Apple App StoreЗагрузите приложение из Google Store
Следите за нами в социальных сетях
EN
EN
NL
NL
CZ
CZ
DE
DE
ES
ES
FR
FR
ID
ID
JP
JP
KR
KO
PL
PL
PT-BR
BR
RU
RU
TR
TR
ZH-CN
ZH

Отказ от ответственности: Cryptohopper не является регулируемой организацией. Торговля криптовалютами с помощью ботов связана с существенными рисками, и прошлая эффективность не являются признаком такой же эффективности их применения в будущем. Прибыль, показанная на скриншотах продукта, приведена для примера и может быть преувеличена. Занимайтесь торговлей с помощью ботов только в том случае, если обладаете достаточными знаниями, или обратитесь за советом к квалифицированному финансовому консультанту. Ни при каких обстоятельствах Cryptohopper не несет ответственности перед любым физическим или юридическим лицом за (а) любые убытки или ущерб, полностью или частично, вызванные, возникшие в результате или в связи с транзакциями с использованием нашего программного обеспечения, или (б) любые прямые, косвенные, особенные, последующие или случайные убытки. Пожалуйста, обратите внимание, что контент, доступный на социальной торговой платформе Cryptohopper, создаётся членами сообщества Cryptohopper и не является советом или рекомендацией Cryptohopper или от его имени. Прибыль, показанная в Маркетплейсе (Торговой площадке), не является индикатором будущих результатов. Используя услуги Cryptohopper, вы признаёте и принимаете риски, присущие торговле криптовалютой, и соглашаетесь оградить Cryptohopper от любых обязательств или понесенных убытков. Прежде чем использовать наше программное обеспечение или участвовать в любой торговой деятельности, необходимо ознакомиться и понять наши Условия предоставления услуг и Предупреждение о рисках. Пожалуйста, обратитесь к юридическим и финансовым специалистам для получения индивидуального совета, основанного на ваших конкретных обстоятельствах.

©2017 - 2024 Copyright by Cryptohopper™ - Все права защищены.