Al fine di eliminare le vulnerabilità del sistema e migliorare ulteriormente le caratteristiche e i servizi di BTCsquare, abbiamo deciso di annunciare un programma di bug bounty per tutti i ricercatori di cybersecurity.
Per ricevere un bounty, vi consigliamo di creare un account su BTCsquare dove sarà memorizzato. Tutte le ricompense sono pagate in criptovaluta PLURA.
Solo i rapporti con una descrizione dettagliata della vulnerabilità e una prova di concetto completa e funzionante sono ammissibili per la ricompensa.
Obiettivi:
*.btcsquare.net
Gamma di ricompense
Livello di gravità e gamma di ricompense
L1: 300 USD in criptovaluta PLURA
-Vulnerabilità che minano la sicurezza delle risorse degli utenti
-Vulnerabilità che bypassano applicazioni o procedure all'interno della normale logica di business
-Vulnerabilità che possono accedere da remoto alle informazioni essenziali degli utenti e alle informazioni di autenticazione
-Vulnerabilità che permettono la perdita delle chiavi private non criptate degli utenti e dei semi delle chiavi
.
L2: 150 USD in criptovaluta PLURA
-Vulnerabilità che portano alla fuga di informazioni ad alto rischio
-Vulnerabilità che fanno sì che BTCsquare non possa rispondere alle richieste API degli utenti.
L3: 50 USD in criptovaluta PLURA
-Vulnerabilità che portano alla perdita di alcune informazioni dell'utente attraverso l'interazione o la frode finanziaria
-Vulnerabilità che fanno sì che BTCsquare non sia in grado di rispondere alle richieste degli utenti dal lato web o mobile.
L4: 20 USD in criptovaluta PLURA
-Vulnerabilità causate da difetti di progettazione del prodotto che non influenzano la sicurezza delle risorse dell'utente.
-Vulnerabilità che influenzano la stabilità o la disponibilità del Web Wallet
.
Attività proibite:
- non si può testare il sistema attraverso gli account di altri utenti
- usare scanner per test automatici
- generare troppi tentativi di inserire una richiesta
.
Le seguenti domande non sono eleggibili per la ricompensa:
-Scarto di contenuti
- Problemi di gestione della cache
- Mancanza di intestazioni di sicurezza che non portano ad abusi diretti
-CSRF con impatto trascurabile sulla sicurezza (ad esempioAggiunta ai preferiti e rimozione di funzioni non live)
-Problemi relativi a suite di cifratura SSL/TLS insicure o versioni di protocollo
-Vulnerabilità che richiedono root/jailbreak
-Vulnerabilità che richiedono accesso fisico ai dispositivi degli utenti
-Problemi senza impatto sulla sicurezza (per esempio: pagina web che non si carica)
-Armi non-BTCsquare
-Phishing (per esempio: HTTP basic authentication phishing)
-Vulnerabilità teoriche senza prova effettiva del concetto
-Falle nell'autenticazione e-mail, i link di reset della password scadono, e politiche di complessità delle password
-Vulnerabilità che espongono indirizzi IP interni o domini
-Tabnabbing
-Self-XSS
-Registri SPF (Sender Policy Framework) non validi o mancanti (SPF/DKIM/DMARC incompleti o mancanti)
-Clickjacking/riformazione dell'interfaccia utente con impatto minimo sulla sicurezza
-Numerazione di e-mail o dispositivi mobili (per esempioAd esempio, la capacità di identificare le e-mail tramite il reset della password
-Fuga di informazioni con un impatto minimo sulla sicurezza (ad es. stack tracking, path discovery, elenchi di directory, logs)
-Problemi interni noti, problemi ricorrenti, o problemi rivelati in precedenza
-Vulnerabilità applicabili solo a versioni obsolete di browser o piattaforme
-Vulnerabilità relative all'autofill di moduli web
-Uso di librerie vulnerabili già note senza effettiva prova di concetto
- Mancanza di flag di sicurezza nei cookie
.
Termini e condizioni
(1) Ci riserviamo il diritto di fare una spiegazione finale del programma di ricompensa.
(2) Solo la prima vulnerabilità segnalata riceverà una ricompensa.
(3) In caso di furto di dati privati o proprietà degli utenti di BTCsquare, perseguiremo la responsabilità legale.
(4) La ricompensa sarà pagata in PIENO sul tuo conto registrato su BTCsquare.
(5) Potrebbero essere necessarie 2-3 settimane per indagare sulla segnalazione.
Se avete domande, contattateci:
Assistenza clienti.