Afin d'éliminer les vulnérabilités du système et d'améliorer encore les fonctionnalités et les services de BTCsquare, nous avons décidé d'annoncer un programme de prime de bogue pour tous les chercheurs en cybersécurité.
Pour recevoir une prime, nous vous recommandons de créer un compte sur BTCsquare où elle sera stockée. Toutes les récompenses sont payées en crypto-monnaie PLURA.
Seuls les rapports comportant une description détaillée de la vulnérabilité et une preuve de concept complète et fonctionnelle sont éligibles pour la récompense.
Objectifs:
*.btcsquare.net
Gamme de récompenses
Niveau de sévérité et gamme de récompenses
L1: 300 USD en crypto-monnaie PLURA
-Vulnérabilités qui compromettent la sécurité des actifs des utilisateurs
-Vulnérabilités qui contournent les applications ou les procédures dans la logique commerciale normale
-Vulnérabilités qui peuvent accéder à distance aux informations essentielles et aux informations d'authentification des utilisateurs
-Vulnérabilités qui permettent la fuite des clés privées non cryptées et des graines de clés des utilisateurs
.
L2 : 150 USD en crypto-monnaie PLURA
-Vulnérabilités qui entraînent une fuite d'informations à haut risque
-Vulnérabilités qui font que BTCsquare n'est pas en mesure de répondre aux demandes API des utilisateurs.
L3 : 50 USD en crypto-monnaie PLURA
-Vulnérabilités qui conduisent à la fuite de certaines informations de l'utilisateur par le biais d'une interaction ou d'une fraude financière
-Vulnérabilités qui font que BTCsquare n'est pas en mesure de répondre aux demandes des utilisateurs du côté web ou mobile.
L4 : 20 USD en crypto-monnaie PLURA
-Vulnérabilités causées par des défauts de conception du produit qui n'affectent pas la sécurité des actifs des utilisateurs.
-Vulnérabilités qui affectent la stabilité ou la disponibilité du Web Wallet
.
Activités interdites:
- vous ne pouvez pas tester le système à travers les comptes d'autres utilisateurs
- en utilisant des scanners pour des tests automatisés
- en générant trop de tentatives de saisie d'une requête
.
Les questions suivantes ne donnent pas droit à une récompense:
-Les problèmes de gestion du cache
-L'absence d'en-têtes de sécurité qui ne conduisent pas à des abus directs
-Les CSRF ayant un impact négligeable sur la sécurité (par ex.Ajout aux favoris et suppression des fonctionnalités non vivantes)
-Problèmes liés à des suites de chiffrement SSL/TLS ou des versions de protocole non sécurisées
-Vulnérabilités nécessitant un root/jailbreak
-Vulnérabilités nécessitant un accès physique aux appareils des utilisateurs
-Problèmes sans impact sur la sécurité (ex : page web ne se chargeant pas)
-Armes non-BTCsquare
-Phishing (ex.: HTTP basic authentication phishing)
-Des vulnérabilités théoriques sans preuve réelle de concept
-Des failles d'authentification par mail, des liens de réinitialisation de mot de passe expirent, et les politiques de complexité des mots de passe
-Vulnérabilités exposant des adresses IP ou des domaines internes
-Tabnabbing
-Self-XSS
-Enregistrements SPF (Sender Policy Framework) incomplets ou manquants
-Clickjacking/UI reformation avec un impact minimal sur la sécurité
-Numérotation des courriels ou des appareils mobiles (ex.Par exemple, la capacité d'identifier les courriels via la réinitialisation du mot de passe
-Fuite d'informations avec un impact minimal sur la sécurité (par ex. suivi de piles, découverte de chemins, listes de répertoires, journaux)
-Problèmes internes connus, problèmes récurrents ou problèmes précédemment divulgués
-Vulnérabilités uniquement applicables sur des versions obsolètes de navigateurs ou de plateformes
-Vulnérabilités liées au remplissage automatique de formulaires web
-Utilisation de bibliothèques vulnérables déjà connues sans preuve réelle de concept
-Manque de drapeaux de sécurité dans les cookies
.
Modalités et conditions
(1) Nous nous réservons le droit de donner une explication finale du programme de récompense.
(2) Seule la première vulnérabilité signalée recevra une récompense.
(3) En cas de vol de données privées ou de biens des utilisateurs de BTCsquare, nous poursuivrons la responsabilité légale.
(4) La récompense sera versée ENTIEREMENT sur votre compte enregistré sur BTCsquare.
(5) L'enquête sur le rapport peut prendre 2 à 3 semaines.
Si vous avez des questions, veuillez nous contacter:
Support client.