BTCSquare Bug Bounty Programm


Um Schwachstellen im System zu beseitigen und die Funktionen und Dienste von BTCsquare weiter zu verbessern, haben wir beschlossen, ein Bug-Bounty-Programm für alle Cybersecurity-Forscher anzukündigen.
Um ein Bounty zu erhalten, empfehlen wir Ihnen, ein Konto auf BTCsquare zu erstellen, wo es gespeichert wird. Alle Belohnungen werden in der Kryptowährung PLURA ausgezahlt.
Nur Berichte mit einer detaillierten Beschreibung der Schwachstelle und einem vollständigen funktionierenden Konzeptnachweis kommen für die Belohnung in Frage.

Zielsetzungen:
*.btcsquare.net

Angebot an Belohnungen

Schweregrad und Bandbreite der Belohnungen

L1: 300 USD in der Kryptowährung PLURA
Schwachstellen, die die Sicherheit der Vermögenswerte der Benutzer untergraben
-Schwachstellen, die Anwendungen oder Verfahren innerhalb der normalen Geschäftslogik umgehen
-Schwachstellen, die aus der Ferne Zugang zu wichtigen Informationen und Authentifizierungsdaten der Benutzer erlangen können
-Schwachstellen, die das Durchsickern von unverschlüsselten privaten Schlüsseln und Schlüssel-Seeds der Benutzer ermöglichen
.
L2: 150 USD in der Kryptowährung PLURA
-Schwachstellen, die zu einem hochriskanten Informationsverlust führen
-Schwachstellen, die dazu führen, dass BTCsquare nicht auf API-Anfragen von Nutzern reagieren kann.

L3: 50 USD in der Kryptowährung PLURA
Schwachstellen, die dazu führen, dass Benutzerinformationen durch Interaktion oder finanziellen Betrug preisgegeben werden
-Schwachstellen, die dazu führen, dass BTCsquare nicht auf Benutzeranfragen von der Web- oder Mobilseite reagieren kann.

L4: 20 USD in der Kryptowährung PLURA
Schwachstellen, die durch Fehler im Produktdesign verursacht werden und die Sicherheit von Benutzer-Assets nicht beeinträchtigen.
-Schwachstellen, die die Stabilität oder Verfügbarkeit der Web Wallet beeinträchtigen
.
Verbotene Aktivitäten:
- Sie können das System nicht über die Konten anderer Benutzer testen
- Verwendung von Scannern für automatisierte Tests
- Generierung zu vieler Versuche, eine Anfrage einzugeben
.
Die folgenden Fragen sind nicht lohnend:
-Verwerfen von Inhalten
-Probleme bei der Cache-Verwaltung
-Mangel an Sicherheits-Headern, die nicht zu direktem Missbrauch führen
-CSRFs mit vernachlässigbaren Sicherheitsauswirkungen (z. B.Hinzufügen zu den Favoriten und Entfernen von Nicht-Live-Funktionen)
-Probleme im Zusammenhang mit unsicheren SSL/TLS-Cipher-Suites oder Protokollversionen
-Schwachstellen, die Root/Jailbreak erfordern
-Schwachstellen, die physischen Zugriff auf die Geräte der Benutzer erfordern
-Probleme ohne Sicherheitsauswirkungen (z. B.: Webseite lädt nicht)
-Nicht-BTCsquare-Waffen
-Phishing (z. B..: HTTP-Basisauthentifizierungs-Phishing)
-Theoretische Schwachstellen ohne tatsächlichen Konzeptnachweis
-Schwachstellen bei der E-Mail-Authentifizierung, Links zum Zurücksetzen von Passwörtern laufen ab, und Kennwortkomplexitätsrichtlinien
-Schwachstellen, die interne IP-Adressen oder Domänen offenlegen
-Tabnabbing
-Self-XSS
-Ungültige oder fehlende SPF (Sender Policy Framework)-Einträge (unvollständige oder fehlende SPF/DKIM/DMARC)
-Clickjacking/UI-Neuformierung mit minimalen Sicherheitsauswirkungen
-E-Mail- oder Mobilgeräte-Nummerierung (z.B.Z.B. die Möglichkeit, E-Mails durch Zurücksetzen des Kennworts zu identifizieren
-Informationsverluste mit minimalen Sicherheitsauswirkungen (z.B. Stack-Tracking, Pfadermittlung, Verzeichnisauflistungen, Protokolle)
-Intern bekannte Probleme, wiederkehrende Probleme oder zuvor offengelegte Probleme
-Schwachstellen, die nur auf veraltete Versionen von Browsern oder Plattformen zutreffen
-Schwachstellen im Zusammenhang mit dem automatischen Ausfüllen von Webformularen
-Verwendung bereits bekannter anfälliger Bibliotheken ohne tatsächlichen Konzeptnachweis
-Mangel an Sicherheitsmerkmalen in Cookies
.
Bedingungen und Konditionen
(1) Wir behalten uns das Recht vor, eine endgültige Klärung des Belohnungsprogramms vorzunehmen.
(2) Nur die erste gemeldete Schwachstelle erhält eine Belohnung.
(3) Im Falle des Diebstahls privater Daten oder des Eigentums von BTCsquare-Nutzern werden wir die rechtliche Haftung verfolgen.
(4) Die Belohnung wird in VOLLEM Umfang auf Ihr bei BTCsquare registriertes Konto ausgezahlt.
(5) Die Untersuchung der Meldung kann 2-3 Wochen dauern.

Wenn Sie Fragen haben, kontaktieren Sie uns bitte: Kundenbetreuung.