A fim de eliminar vulnerabilidades no sistema e melhorar ainda mais os recursos e serviços do BTCsquare, decidimos anunciar um programa de recompensa de bugs para todos os pesquisadores cybersecurity.
Para receber uma recompensa, recomendamos que você crie uma conta no BTCsquare onde ela será armazenada. Todas as recompensas são pagas em moeda criptográfica PLURA.
Apenas relatórios com uma descrição detalhada da vulnerabilidade e uma prova completa do conceito são elegíveis para a recompensa.

Objetivos:
*.btcsquare.net

Gama de recompensas

Nível de severidade e gama de recompensas

L1: 300 USD na moeda criptográfica da PLURA
-Vulnerabilidades que minam a segurança dos bens dos utilizadores
-Vulnerabilidades que contornam aplicações ou procedimentos dentro da lógica normal do negócio
-Vulnerabilidades que podem obter acesso remoto à informação essencial dos utilizadores e à informação de autenticação
-Vulnerabilidades que permitem o vazamento de chaves privadas não encriptadas e sementes de chave dos utilizadores
.
L2: 150 USD em moeda criptográfica PLURA
-Vulnerabilidades que levam ao vazamento de informações de alto risco
-Vulnerabilidades que fazem com que o BTCsquare seja incapaz de responder às solicitações de API dos usuários.

L3: 50 USD em moeda criptográfica PLURA
-Vulnerabilidades que levam ao vazamento de alguma informação do usuário através da interação ou fraude financeira
-Vulnerabilidades que fazem com que o BTCsquare seja incapaz de responder às solicitações do usuário pela web ou pelo lado móvel.

L4: 20 USD em moeda criptográfica PLURA
-Vulnerabilidades causadas por falhas de design do produto que não afetam a segurança dos ativos do usuário.
-Vulnerabilidades que afetam a estabilidade ou disponibilidade da Carteira Web
.
Atividades proibidas:
- você não pode testar o sistema através das contas de outros usuários
- usando scanners para testes automatizados
- gerando muitas tentativas de entrar um pedido
.
As seguintes perguntas não são elegíveis para recompensa:
-Descarte de conteúdo
-Problemas de gerenciamento de cache
- Falta de cabeçalhos de segurança que não levam a abusos diretos
-CSRFs com impacto negligenciável na segurança (por exemploAdicionar aos favoritos e remover características não vivas)
-Problemas relacionados com conjuntos de cifras SSL/TLS inseguros ou versões de protocolo
-Vulnerabilidades que requerem root/jailbreak
-Vulnerabilidades que requerem acesso físico aos dispositivos dos utilizadores
-Problemas sem impacto na segurança (por exemplo: página Web não carregada)
-Armas não quadradas do tipo BTC
-Phishing (por exemplo: HTTP autenticação básica phishing)
-Vulnerabilidades teóricas sem prova real de conceito
-Falhas de autenticação do e-mail, links de redefinição de senha expiram, e políticas de complexidade de senha
-Vulnerabilidades expondo endereços IP internos ou domínios
-Tabnabbing
-Self-XSS
-Registros SPF (Sender Policy Framework) inválidos ou ausentes (SPF/DKIM/DMARC incompletos ou ausentes)
-Reformação de clickjacking/UI com mínimo impacto de segurança
-Numeração de dispositivos móveis ou de e-mail (por exemploPor exemplo, capacidade de identificar e-mails através de redefinição de senha
- Fuga de informação com impacto mínimo de segurança (por exemplo rastreamento de pilha, descoberta de caminhos, listagens de diretórios, logs)
-Paintualidades internas conhecidas, questões recorrentes, ou questões previamente divulgadas
-Vulnerabilidades aplicáveis apenas a versões desatualizadas de navegadores ou plataformas
-Vulnerabilidades relacionadas ao preenchimento automático de formulários web
-Uso de bibliotecas vulneráveis já conhecidas sem prova real de conceito
- Falta de flags de segurança em cookies
.
Termos e Condições
(1) Reservamo-nos o direito de fazer o esclarecimento final do programa de recompensa.
(2) Apenas a primeira vulnerabilidade reportada receberá uma recompensa.
(3) Em caso de roubo de dados privados ou propriedade de usuários do BTCsquare, perseguiremos a responsabilidade legal.
(4) A recompensa será paga em COMPLETO à sua conta registrada no BTCsquare.
(5) Pode levar de 2 a 3 semanas para investigar o relatório.

Se você tiver alguma dúvida, por favor entre em contato conosco: Apoio ao cliente.