Program odměn za chyby BTCSquare


Abychom odstranili zranitelnosti systému a dále zlepšili funkce a služby burzy BTCsquare, rozhodli jsme se vyhlásit program odměn za chyby pro všechny výzkumníky v oblasti kybernetické bezpečnosti.
Chcete-li získat odměnu, doporučujeme vám vytvořit si účet na BTCsquare, kde bude uložena. Všechny odměny jsou vypláceny v kryptoměně PLURA.
Nárok na odměnu mají pouze hlášení s podrobným popisem zranitelnosti a kompletním funkčním důkazem konceptu.

Cíle:
*.btcsquare.net

Rozsah odměn

Úroveň závažnosti a rozsah odměn

L1: 300 USD v kryptoměně PLURA
-Zranitelnosti, které podkopávají bezpečnost majetku uživatelů
-Zranitelnosti, které obcházejí aplikace nebo postupy v rámci běžné obchodní logiky
-Zranitelnosti, které mohou vzdáleně získat přístup k základním informacím a autentizačním informacím uživatelů.
-Zranitelnosti, které umožňují únik nešifrovaných soukromých klíčů a klíčových semen uživatelů
.
L2: 150 USD v kryptoměně PLURA
-Zranitelnosti, které vedou k vysoce rizikovému úniku informací
-Zranitelnosti, které způsobují, že BTCsquare není schopen reagovat na požadavky API uživatelů.

L3: 50 USD v kryptoměně PLURA
-Zranitelnosti, které vedou k úniku části informací o uživatelích prostřednictvím interakce nebo finančních podvodů
-Zranitelnosti, které způsobují, že BTCsquare není schopen reagovat na požadavky uživatelů z webové nebo mobilní strany.

L4: 20 USD v kryptoměně PLURA
-Zranitelnosti způsobené vadami návrhu produktu, které však nemají vliv na bezpečnost aktiv uživatelů.
-Zranitelnosti, které ovlivňují stabilitu nebo dostupnost webové peněženky
.
Zakázané činnosti:
- nelze testovat systém prostřednictvím účtů jiných uživatelů
- použití skenerů pro automatizované testování
- generování příliš velkého počtu pokusů o zadání požadavku
.
Následující otázky nejsou způsobilé pro odměnu:
-Podvržení obsahu
-Problémy související s řízením mezipaměti
-Nedostatek bezpečnostních hlaviček, které nevedou k přímému zneužití
-CSRF se zanedbatelným bezpečnostním dopadem (např.: přidání do oblíbených položek a odběr neživotných funkcí)
-Problémy související s nebezpečnými sadami šifer SSL/TLS nebo verzí protokolu
-Zranitelnosti vyžadující root/únik z vězení
-Zranitelnosti vyžadující fyzický přístup k zařízení uživatelů
-Problémy bez dopadu na zabezpečení (např.: nenačtení webové stránky)
-Zbraně nepatřící do BTCsquare
-Phishing (např.: HTTP basic authentication phishing)
-Teoretické zranitelnosti bez skutečného prokázání konceptu
-Vady ověření e-mailu, vypršení platnosti odkazů pro obnovení hesla, a zásady složitosti hesel
-Zranitelnosti odhalující interní IP adresy nebo domény
-Tabnabbing
-Self-XSS
-Neplatné nebo chybějící záznamy SPF (Sender Policy Framework) (neúplné nebo chybějící SPF/DKIM/DMARC)
-Clickjacking/reformování uživatelského rozhraní s minimálním dopadem na bezpečnost
-Vyčíslování e-mailů nebo mobilních zařízení (např.Např. možnost identifikovat e-maily prostřednictvím obnovení hesla
-Únik informací s minimálním dopadem na zabezpečení (např. sledování zásobníku, odhalení cesty, výpisy adresářů, protokoly)
-Vnitřně známé problémy, opakující se problémy nebo již zveřejněné problémy
-Zranitelnosti použitelné pouze na zastaralých verzích prohlížečů nebo platforem
-Zranitelnosti související s automatickým vyplňováním webových formulářů
-Používání již známých zranitelných knihoven bez skutečného prokázání konceptu
-Nedostatek bezpečnostních příznaků v souborech cookie
.
Podmínky
(1) Vyhrazujeme si právo na konečné vysvětlení programu odměn.
(2) Odměnu obdrží pouze první nahlášená zranitelnost.
(3) V případě krádeže soukromých dat nebo majetku uživatelů BTCsquare budeme uplatňovat právní odpovědnost.
(4) Odměna bude vyplacena v PLUŘE na váš účet registrovaný na BTCsquare.
(5) Prověření hlášení může trvat 2-3 týdny
.

Máte-li jakékoli dotazy, kontaktujte nás: Zákaznická podpora.