Om kwetsbaarheden in het systeem te elimineren en de functies en diensten van BTCsquare verder te verbeteren, hebben we besloten een bug bounty programma aan te kondigen voor alle cybersecurity onderzoekers.
Om een bounty te ontvangen, raden we je aan een account aan te maken op BTCsquare waar het zal worden opgeslagen. Alle beloningen worden betaald in PLURA cryptocurrency.
Alleen meldingen met een gedetailleerde beschrijving van de kwetsbaarheid en een volledig werkend proof of concept komen in aanmerking voor de beloning.
Doelstellingen:
*.btcsquare.net
Bereik van beloningen
Niveau van ernst en scala aan beloningen
L1: 300 USD in PLURA cryptocurrency
-Vulnerabilities die de beveiliging van de bezittingen van gebruikers ondermijnen
-Vulnerabilities die applicaties of procedures binnen de normale bedrijfslogica omzeilen
-Vulnerabilities die op afstand toegang kunnen krijgen tot essentiële informatie en authenticatiegegevens van gebruikers
-Vulnerabilities die het lekken van onversleutelde private sleutels en key seeds van gebruikers mogelijk maken
.
L2: 150 USD in PLURA cryptocurrency
-Vulnerabilities die leiden tot het lekken van informatie met een hoog risico
-Vulnerabilities die ervoor zorgen dat BTCsquare niet kan reageren op API-verzoeken van gebruikers.
L3: 50 USD in PLURA cryptocurrency
-Vulnerabilities die leiden tot het lekken van bepaalde gebruikersinformatie door interactie of financiële fraude
-Vulnerabilities die ervoor zorgen dat BTCsquare niet kan reageren op gebruikersverzoeken van de web- of mobiele kant.
L4: 20 USD in PLURA cryptocurrency
-Vulnerabilities veroorzaakt door product ontwerpfouten die geen invloed hebben op de veiligheid van gebruikersactiva.
-Vulnerabilities die invloed hebben op de stabiliteit of beschikbaarheid van de Web Wallet
.
Verboden activiteiten:
- u kunt het systeem niet testen via de accounts van andere gebruikers
- het gebruik van scanners voor geautomatiseerd testen
- het genereren van te veel pogingen om een verzoek in te voeren
.
De volgende vragen komen niet in aanmerking voor een beloning:
-Content discard
-Cache-beheerproblemen
-Afwezigheid van beveiligingsheaders die niet tot direct misbruik leiden
-CSRF's met verwaarloosbare beveiligingsimpact (bijv.Toevoegen aan favorieten en verwijderen van niet-live functies)
-Problemen gerelateerd aan onveilige SSL/TLS cipher suites of protocol versies
-Vulnerabilities die root/jailbreak vereisen
-Vulnerabilities die fysieke toegang tot gebruikers' apparaten vereisen
-Problemen zonder veiligheidsimpact (b.v.: webpagina laadt niet)
-Niet-BTCsquare wapens
-Phishing (b.v..: HTTP basic authentication phishing)
-Theoretische kwetsbaarheden zonder daadwerkelijk proof of concept
-E-mail authenticatie fouten, wachtwoord reset links verlopen, en wachtwoordcomplexiteitsbeleid
-Vulnerabilities die interne IP-adressen of domeinen blootleggen
-Tabnabbing
-Self-XSS
-Ontgeldige of ontbrekende SPF-records (Sender Policy Framework) (onvolledige of ontbrekende SPF/DKIM/DMARC)
-Clickjacking/UI-hervorming met minimale beveiligingsimpact
-Email of mobiele apparaatnummering (bijv.Bv. mogelijkheid om e-mails te identificeren via het opnieuw instellen van wachtwoorden
-Informatie lekken met minimale gevolgen voor de veiligheid (bv. stack tracking, path discovery, directory listings, logs)
-Intern bekende problemen, terugkerende problemen, of eerder geopenbaarde problemen
-Vulnerabilities die alleen van toepassing zijn op verouderde versies van browsers of platforms
-Vulnerabilities gerelateerd aan web form autofill
-Gebruik van reeds bekende kwetsbare bibliotheken zonder daadwerkelijke proof of concept
-Het ontbreken van beveiligingsvlaggen in cookies
.
Voorwaarden en Condities
(1) We behouden ons het recht voor om een definitieve uitleg te geven over het beloningsprogramma.
(2) Alleen de eerst gemelde kwetsbaarheid ontvangt een beloning.
(3) In geval van diefstal van privégegevens of eigendommen van BTCsquare gebruikers, zullen we juridische aansprakelijkheid aanvaarden.
(4) De beloning zal volledig worden uitbetaald op uw account geregistreerd op BTCsquare.
(5) Het kan 2-3 weken duren om de melding te onderzoeken.
Als u vragen heeft, neem dan contact met ons op:
Klantenondersteuning.