Προκειμένου να εξαλείψουμε τα τρωτά σημεία του συστήματος και να βελτιώσουμε περαιτέρω τα χαρακτηριστικά και τις υπηρεσίες του BTCsquare, αποφασίσαμε να ανακοινώσουμε ένα πρόγραμμα ανταμοιβής για σφάλματα για όλους τους ερευνητές κυβερνοασφάλειας.
Για να λάβετε μια ανταμοιβή, σας συνιστούμε να δημιουργήσετε έναν λογαριασμό στο BTCsquare όπου θα αποθηκευτεί. Όλες οι ανταμοιβές καταβάλλονται σε κρυπτονόμισμα PLURA.
Μόνο οι αναφορές με λεπτομερή περιγραφή της ευπάθειας και ένα πλήρες λειτουργικό proof of concept είναι επιλέξιμες για την ανταμοιβή.

Στόχοι:
*.btcsquare.net

Εύρος ανταμοιβών

Επίπεδο σοβαρότητας και εύρος ανταμοιβών

L1: 300 USD σε κρυπτονόμισμα PLURA
-Αδυναμίες που υπονομεύουν την ασφάλεια των περιουσιακών στοιχείων των χρηστών
-Αδυναμίες που παρακάμπτουν εφαρμογές ή διαδικασίες στο πλαίσιο της κανονικής επιχειρησιακής λογικής
-Αδυναμίες που μπορούν να αποκτήσουν πρόσβαση από απόσταση σε βασικές πληροφορίες και πληροφορίες ελέγχου ταυτότητας των χρηστών
-Αδυναμίες που επιτρέπουν τη διαρροή μη κρυπτογραφημένων ιδιωτικών κλειδιών και σπόρων κλειδιών των χρηστών
.
L2: 150 USD σε κρυπτονόμισμα PLURA
-Αδυναμίες που οδηγούν σε διαρροή πληροφοριών υψηλού κινδύνου
-Αδυναμίες που προκαλούν αδυναμία ανταπόκρισης του BTCsquare σε αιτήματα API από χρήστες.

L3: 50 USD σε κρυπτονόμισμα PLURA
-Αδυναμίες που οδηγούν σε διαρροή κάποιων πληροφοριών χρηστών μέσω αλληλεπίδρασης ή οικονομικής απάτης
-Αδυναμίες που προκαλούν αδυναμία ανταπόκρισης του BTCsquare σε αιτήματα χρηστών από την πλευρά του διαδικτύου ή της κινητής τηλεφωνίας.

L4: 20 USD σε κρυπτονόμισμα PLURA
-Αδυναμίες που προκαλούνται από σχεδιαστικές ατέλειες του προϊόντος και δεν επηρεάζουν την ασφάλεια των περιουσιακών στοιχείων των χρηστών.
-Αδυναμίες που επηρεάζουν τη σταθερότητα ή τη διαθεσιμότητα του Web Wallet
.
Απαγορευμένες δραστηριότητες:
- δεν μπορείτε να δοκιμάσετε το σύστημα μέσω λογαριασμών άλλων χρηστών
- χρήση σαρωτών για αυτοματοποιημένη δοκιμή
- δημιουργία πάρα πολλών προσπαθειών για την εισαγωγή ενός αιτήματος
.
Οι ακόλουθες ερωτήσεις δεν είναι επιλέξιμες για ανταμοιβή:
-Απόρριψη περιεχομένου
-Θέματα διαχείρισης κρυφής μνήμης
-Έλλειψη κεφαλίδων ασφαλείας που δεν οδηγούν σε άμεση κατάχρηση
-CSRF με αμελητέο αντίκτυπο στην ασφάλεια (π.χ.Προσθήκη στα αγαπημένα και αφαίρεση μη ζωντανών λειτουργιών)
-Προβλήματα που σχετίζονται με μη ασφαλείς σουίτες κρυπτογράφησης SSL/TLS ή εκδόσεις πρωτοκόλλων
-Αδυναμίες που απαιτούν root/διάσπαση φυλακής
-Αδυναμίες που απαιτούν φυσική πρόσβαση στις συσκευές των χρηστών
-Προβλήματα χωρίς αντίκτυπο στην ασφάλεια (π.χ.: ιστοσελίδα που δεν φορτώνει)
-Όπλα που δεν ανήκουν στο BTCsquare
-Φίσινγκ (π.χ.: HTTP basic authentication phishing)
-Θεωρητικές ευπάθειες χωρίς πραγματική απόδειξη της έννοιας
-Ατέλειες στον έλεγχο ταυτότητας μέσω email, λήξη των συνδέσμων επαναφοράς κωδικού πρόσβασης, και πολιτικές πολυπλοκότητας κωδικών πρόσβασης
-Αδυναμίες που εκθέτουν εσωτερικές διευθύνσεις IP ή τομείς
-Tabnabbing
-Self-XSS
-Invalid or missing SPF (Sender Policy Framework) records (ελλιπείς ή ελλείπουσες εγγραφές SPF/DKIM/DMARC)
-Clickjacking/UI reformation with minimal security impact
-Email or mobile device numbering (π.χ.Π.χ., δυνατότητα εντοπισμού ηλεκτρονικών μηνυμάτων μέσω επαναφοράς κωδικού πρόσβασης
-Διαρροή πληροφοριών με ελάχιστο αντίκτυπο στην ασφάλεια (π.χ. παρακολούθηση στοίβας, ανακάλυψη διαδρομών, καταλόγους καταλόγων, αρχεία καταγραφής)
-Εσωτερικά γνωστά ζητήματα, επαναλαμβανόμενα ζητήματα ή ζητήματα που έχουν αποκαλυφθεί προηγουμένως
-Ερωτηματικά που ισχύουν μόνο για ξεπερασμένες εκδόσεις προγραμμάτων περιήγησης ή πλατφόρμες
-Ερωτηματικά που σχετίζονται με την αυτόματη συμπλήρωση φορμών ιστού
-Χρήση ήδη γνωστών ευάλωτων βιβλιοθηκών χωρίς πραγματική απόδειξη της ιδέας
-Έλλειψη σημαιών ασφαλείας στα cookies
.
Όροι και Προϋποθέσεις
(1) Διατηρούμε το δικαίωμα να δώσουμε την τελική εξήγηση για το πρόγραμμα ανταμοιβής.
(2) Μόνο η πρώτη αναφερθείσα ευπάθεια θα λάβει ανταμοιβή.
(3) Σε περίπτωση κλοπής ιδιωτικών δεδομένων ή περιουσίας χρηστών του BTCsquare, θα επιδιώξουμε τη νομική ευθύνη.
(4) Η ανταμοιβή θα καταβληθεί ΠΛΗΡΩΣ στον λογαριασμό σας που είναι εγγεγραμμένος στο BTCsquare.
(5) Μπορεί να χρειαστούν 2-3 εβδομάδες για τη διερεύνηση της αναφοράς.

Εάν έχετε οποιεσδήποτε ερωτήσεις, παρακαλούμε επικοινωνήστε μαζί μας: Υποστήριξη πελατών.