W celu wyeliminowania luk w systemie oraz dalszego ulepszania funkcji i usług BTCsquare, postanowiliśmy ogłosić program bug bounty dla wszystkich badaczy cyberbezpieczeństwa.
Aby otrzymać nagrodę, zalecamy utworzenie konta na BTCsquare, gdzie będzie ona przechowywana. Wszystkie nagrody są wypłacane w kryptowalucie PLURA. Cele:
*.btcsquare.net

Zakres nagród

Poziom surowości i zakres nagród

L1: 300 USD w kryptowalucie PLURA
-Podatności, które osłabiają bezpieczeństwo aktywów użytkowników
- Podatności, które omijają aplikacje lub procedury w ramach normalnej logiki biznesowej
- Podatności, które mogą zdalnie uzyskać dostęp do najważniejszych informacji i danych uwierzytelniających użytkowników
- Podatności, które umożliwiają wyciek niezaszyfrowanych kluczy prywatnych i nasion kluczy użytkowników
.
L2: 150 USD w kryptowalucie PLURA
-Podatności, które prowadzą do wycieku informacji wysokiego ryzyka
- Podatności, które powodują, że BTCsquare nie jest w stanie odpowiadać na żądania API od użytkowników.

L3: 50 USD w kryptowalucie PLURA
-Podatności, które prowadzą do wycieku niektórych informacji o użytkownikach w wyniku interakcji lub oszustw finansowych
- Podatności, które powodują, że BTCsquare nie jest w stanie odpowiadać na żądania użytkowników ze strony internetowej lub mobilnej.

L4: 20 USD w kryptowalucie PLURA
-Podatności spowodowane wadami konstrukcyjnymi produktu, które nie mają wpływu na bezpieczeństwo aktywów użytkownika.
- Podatności, które wpływają na stabilność lub dostępność Web Wallet
.
Działania zabronione:
- nie można testować systemu za pośrednictwem kont innych użytkowników
- używanie skanerów do testów automatycznych
- generowanie zbyt wielu prób wprowadzenia żądania
.
Następujące pytania nie mogą być nagradzane:
-Odrzucanie zawartości
-Kłopoty z zarządzaniem pamięcią podręczną
-Brak nagłówków bezpieczeństwa, które nie prowadzą do bezpośrednich nadużyć
-CSRF o niewielkim wpływie na bezpieczeństwo (np.Dodawanie do ulubionych i usuwanie niedziałających funkcji)
-Problemy związane z niezabezpieczonymi pakietami szyfrów SSL/TLS lub wersjami protokołów
-Podatrzenia wymagające złamania roota/jailbreak
-Podatrzenia wymagające fizycznego dostępu do urządzeń użytkowników
-Problemy niemające wpływu na bezpieczeństwo (np.: nieładująca się strona internetowa)
-Broń inna niż kwadratowa BTC
-Phishing (np.: Wyłudzanie podstawowego uwierzytelniania HTTP)
- Teoretyczne luki bez rzeczywistego potwierdzenia koncepcji
- Błędy w uwierzytelnianiu poczty elektronicznej, wygasające łącza do resetowania hasła, Podatności narażające wewnętrzne adresy IP lub domeny
-Tabnabbing
-Self-XSS
-Nieprawidłowe lub brakujące rekordy SPF (Sender Policy Framework) (niekompletne lub brakujące rekordy SPF/DKIM/DMARC)
-Clickjacking/reforma interfejsu użytkownika z minimalnym wpływem na bezpieczeństwo
-Numerowanie poczty elektronicznej lub urządzeń mobilnych (np.Np. możliwość identyfikacji wiadomości e-mail po zresetowaniu hasła
-Uciek informacji z minimalnym wpływem na bezpieczeństwo (np. śledzenie stosu, wykrywanie ścieżek, listy katalogów, logi)
- Wewnętrzne znane problemy, powracające problemy lub wcześniej ujawnione problemy
- Podatności mające zastosowanie tylko do przestarzałych wersji przeglądarek lub platform
- Podatności związane z automatycznym wypełnianiem formularzy internetowych
- Wykorzystanie znanych już podatnych bibliotek bez rzeczywistego sprawdzenia koncepcji
- Brak flag bezpieczeństwa w plikach cookie
.
Zasady i warunki
(1) Zastrzegamy sobie prawo do ostatecznego wyjaśnienia programu nagród.
(2) Tylko pierwsza zgłoszona podatność na atak otrzyma nagrodę.
(3) W przypadku kradzieży prywatnych danych lub własności użytkowników BTCsquare, będziemy dochodzić odpowiedzialności prawnej.
(4) Nagroda zostanie wypłacona w PEŁNEJ wysokości na Twoje konto zarejestrowane na BTCsquare.
(5) Rozpatrzenie zgłoszenia może potrwać 2-3 tygodnie.

W razie jakichkolwiek pytań prosimy o kontakt z nami: Obsługa klienta.