Con el fin de eliminar las vulnerabilidades del sistema y mejorar aún más las características y servicios de BTCsquare, hemos decidido anunciar un programa de recompensas por errores para todos los investigadores de ciberseguridad.
Para recibir una recompensa, le recomendamos que cree una cuenta en BTCsquare donde se almacenará. Todas las recompensas se pagan en criptomoneda PLURA.
Sólo los informes con una descripción detallada de la vulnerabilidad y una prueba de concepto completa y funcional pueden optar a la recompensa.

Objetivos:
*.btcsquare.net

Gama de recompensas

Nivel de gravedad y gama de recompensas

L1: 300 USD en criptomoneda PLURA
-Vulnerabilidades que socavan la seguridad de los activos de los usuarios
-Vulnerabilidades que eluden las aplicaciones o los procedimientos dentro de la lógica empresarial normal
-Vulnerabilidades que pueden acceder de forma remota a la información esencial de los usuarios y a la información de autenticación
-Vulnerabilidades que permiten la filtración de las claves privadas no cifradas de los usuarios y de las semillas de claves
.
L2: 150 USD en criptomoneda PLURA
-Vulnerabilidades que provocan una fuga de información de alto riesgo
-Vulnerabilidades que provocan que BTCsquare no pueda responder a las solicitudes de API de los usuarios.

L3: 50 USD en criptomoneda PLURA
-Vulnerabilidades que provocan la fuga de alguna información del usuario a través de la interacción o el fraude financiero
-Vulnerabilidades que provocan que BTCsquare no pueda responder a las peticiones de los usuarios desde el lado web o móvil.

L4: 20 USD en criptomoneda PLURA
-Vulnerabilidades causadas por fallos de diseño del producto que no afectan a la seguridad de los activos de los usuarios.
-Vulnerabilidades que afectan a la estabilidad o disponibilidad de Web Wallet
.
Actividades prohibidas:
- no se puede probar el sistema a través de las cuentas de otros usuarios
- utilizar escáneres para realizar pruebas automáticas
- generar demasiados intentos para introducir una solicitud
.
Las siguientes preguntas no pueden ser premiadas:
-Descarte de contenido
-Problemas de gestión de la caché
-Falta de cabeceras de seguridad que no conduzcan a un abuso directo
-CSRFs con un impacto de seguridad insignificante (por ejemplo.Añadir a los favoritos y eliminar las funciones no activas)
-Problemas relacionados con suites de cifrado SSL/TLS inseguras o versiones de protocolo
-Vulnerabilidades que requieren root/jailbreak
-Vulnerabilidades que requieren acceso físico a los dispositivos de los usuarios
-Problemas sin impacto en la seguridad (por ejemplo: la página web no se carga)
-Armas no BTCsquare
-Phishing (por ejemplo.: Phishing de autenticación básica HTTP)
-Vulnerabilidades teóricas sin pruebas reales de concepto
-Fallas de autenticación de correo electrónico, los enlaces de restablecimiento de contraseña caducan, y políticas de complejidad de contraseñas
-Vulnerabilidades que exponen direcciones IP o dominios internos
-Tabnabbing
-Self-XSS
-Registros SPF (Sender Policy Framework) inválidos o ausentes (SPF/DKIM/DMARC incompletos o ausentes)
-Clickjacking/reforma de la interfaz de usuario con mínimo impacto en la seguridad
-Numeración de correos electrónicos o dispositivos móviles (por ejemploPor ejemplo, la capacidad de identificar los correos electrónicos mediante el restablecimiento de la contraseña
-Fuga de información con un impacto mínimo en la seguridad (por ejemplo rastreo de pila, descubrimiento de rutas, listados de directorios, registros)
-Problemas internos conocidos, problemas recurrentes o problemas previamente revelados
-Vulnerabilidades aplicables sólo a versiones obsoletas de navegadores o plataformas
-Vulnerabilidades relacionadas con el autorrelleno de formularios web
-Uso de bibliotecas vulnerables ya conocidas sin una prueba real de concepto
-Falta de banderas de seguridad en las cookies
.
Términos y condiciones
(1) Nos reservamos el derecho de hacer una explicación final del programa de recompensas.
(2) Sólo la primera vulnerabilidad reportada recibirá una recompensa.
(3) En el caso de robo de datos privados o de la propiedad de los usuarios de BTCsquare, perseguiremos la responsabilidad legal.
(4) La recompensa se pagará en su totalidad a su cuenta registrada en BTCsquare.
(5) Puede tomar 2-3 semanas para investigar el informe.

Si tiene alguna duda, póngase en contacto con nosotros: Atención al cliente.