For at fjerne sårbarheder i systemet og yderligere forbedre funktionerne og tjenesterne på BTCsquare har vi besluttet at annoncere et bug bounty-program for alle cybersikkerhedsforskere.
For at modtage en bounty anbefaler vi, at du opretter en konto på BTCsquare, hvor den vil blive gemt. Alle belønninger udbetales i PLURA-kryptovaluta.
Kun rapporter med en detaljeret beskrivelse af sårbarheden og et komplet fungerende proof of concept er berettiget til belønningen.

Målsætninger:
*.btcsquare.net

Udvalg af belønninger

Sværhedsgrad og rækkevidde af belønninger

L1: 300 USD i PLURA-kryptovaluta
-Sårbarheder, der underminerer sikkerheden for brugernes aktiver
- Sårbarheder, der omgår applikationer eller procedurer inden for normal forretningslogik
- Sårbarheder, der kan give fjernadgang til brugernes vigtige oplysninger og autentifikationsoplysninger
- Sårbarheder, der giver mulighed for lækage af brugernes ukrypterede private nøgler og nøglefrø
.
L2: 150 USD i PLURA-kryptovaluta
-Sårbarheder, der fører til informationslækage med høj risiko
-Sårbarheder, der gør BTCsquare ude af stand til at reagere på API-forespørgsler fra brugere.

L3: 50 USD i PLURA-kryptovaluta
Sårbarheder, der fører til lækage af brugeroplysninger gennem interaktion eller økonomisk svindel
-Sårbarheder, der gør BTCsquare ude af stand til at reagere på brugeranmodninger fra web- eller mobilsiden.

L4: 20 USD i PLURA-kryptovaluta
-Sårbarheder forårsaget af fejl i produktdesignet, der ikke påvirker sikkerheden for brugeraktiver.
-Sårbarheder, der påvirker stabiliteten eller tilgængeligheden af webtegnebogen
.
Forbudte aktiviteter:
- du kan ikke teste systemet via andre brugeres konti
- du bruger scannere til automatiseret testning
- du genererer for mange forsøg på at indtaste en anmodning
.
Følgende spørgsmål er ikke berettiget til belønning:
-Indholdsafkast
-Problemer med cache-administration
-Mangel på sikkerhedsheader, der ikke fører til direkte misbrug
-CSRF'er med ubetydelig sikkerhedspåvirkning (f.eks.Tilføjelse til favoritter og fjernelse af ikke-levende funktioner)
-Problemer relateret til usikre SSL/TLS cipher suites eller protokolversioner
-Sårbarheder, der kræver root/jailbreak
-Sårbarheder, der kræver fysisk adgang til brugernes enheder
-Problemer uden sikkerhedsmæssig betydning (f.eks.: webside, der ikke indlæses)
-Non-BTCsquare-våben
-Phishing (f.eks.: HTTP basic authentication phishing)
-Theoretiske sårbarheder uden egentlige beviser for konceptet
- Fejl i e-mail autentificering, links til nulstilling af adgangskode udløber, og politikker for passwordkompleksitet
-Sårbarheder, der eksponerer interne IP-adresser eller domæner
-Tabnabbing
-Self-XSS
-Ugyldige eller manglende SPF-poster (Sender Policy Framework) (ufuldstændige eller manglende SPF/DKIM/DMARC)
-Clickjacking/UI-reformation med minimal sikkerhedspåvirkning
-E-mail eller nummerering af mobile enheder (f.eks.F.eks. mulighed for at identificere e-mails via nulstilling af adgangskode
-Informationslækage med minimal sikkerhedsindvirkning (f.eks. stack tracking, path discovery, directory listings, logs)
-Internt kendte problemer, tilbagevendende problemer eller tidligere afslørede problemer
-Sårbarheder, der kun gælder for forældede versioner af browsere eller platforme
-Sårbarheder i forbindelse med automatisk udfyldning af webformularer
-Anvendelse af allerede kendte sårbare biblioteker uden egentlig proof of concept
-Mangel på sikkerhedsflag i cookies
.
Vilkår og betingelser
(1) Vi forbeholder os retten til at give en endelig forklaring på belønningsprogrammet.
(2) Kun den første rapporterede sårbarhed vil modtage en belønning.
(3) I tilfælde af tyveri af private data eller ejendom tilhørende BTCsquare-brugere, vil vi påtage os det juridiske ansvar.
(4) Belønningen vil blive udbetalt FULDSTÆNDIG til din konto registreret på BTCsquare.
(5) Det kan tage 2-3 uger at undersøge rapporten.

Hvis du har spørgsmål, bedes du kontakte os: Kundesupport.