S cieľom odstrániť zraniteľnosti v systéme a ďalej zlepšovať funkcie a služby BTCsquare sme sa rozhodli vyhlásiť program odmien za chyby pre všetkých výskumníkov v oblasti kybernetickej bezpečnosti.
Ak chcete získať odmenu, odporúčame vám vytvoriť si účet na BTCsquare, kde bude uložená. Všetky odmeny sa vyplácajú v kryptomene PLURA.
Nárok na odmenu majú len správy s podrobným opisom zraniteľnosti a kompletným funkčným dôkazom konceptu.
Ciele:
*.btcsquare.net
Rozsah odmien
Úroveň závažnosti a rozsah odmien
L1: 300 USD v kryptomene PLURA
-Zraniteľnosti, ktoré podkopávajú bezpečnosť aktív používateľov
-Zraniteľnosti, ktoré obchádzajú aplikácie alebo postupy v rámci bežnej obchodnej logiky
-Zraniteľnosti, ktoré môžu na diaľku získať prístup k základným informáciám a autentifikačným informáciám používateľov
-Zraniteľnosti, ktoré umožňujú únik nešifrovaných súkromných kľúčov a kľúčových semien používateľov
.
L2: 150 USD v kryptomene PLURA
-Zraniteľnosti, ktoré vedú k úniku informácií s vysokým rizikom
-Zraniteľnosti, ktoré spôsobujú, že BTCsquare nie je schopný odpovedať na požiadavky API od používateľov.
L3: 50 USD v kryptomene PLURA
-Zraniteľnosti, ktoré vedú k úniku niektorých informácií o používateľoch prostredníctvom interakcie alebo finančných podvodov
-Zraniteľnosti, ktoré spôsobujú, že BTCsquare nie je schopný reagovať na požiadavky používateľov z webovej alebo mobilnej strany.
L4: 20 USD v kryptomene PLURA
-Zraniteľnosti spôsobené chybami v návrhu produktu, ktoré nemajú vplyv na bezpečnosť používateľských aktív.
-Zraniteľnosti, ktoré majú vplyv na stabilitu alebo dostupnosť webovej peňaženky
.
Zakázané činnosti:
- nemôžete testovať systém prostredníctvom účtov iných používateľov
- používanie skenerov na automatizované testovanie
- generovanie príliš veľkého počtu pokusov o zadanie požiadavky
.
Nasledujúce otázky nie sú oprávnené na odmenu:
-Zavrhnutie obsahu
-Problémy so správou vyrovnávacej pamäte
-Nedostatok bezpečnostných hlavičiek, ktoré nevedú k priamemu zneužitiu
-CSRF so zanedbateľným bezpečnostným vplyvom (napr.Pridávanie do obľúbených a odstraňovanie funkcií, ktoré nie sú živé)
-Problémy súvisiace s nezabezpečenými sadami šifier SSL/TLS alebo verziami protokolov
-Zraniteľnosti vyžadujúce root/prelomenie väzenia
-Zraniteľnosti vyžadujúce fyzický prístup k zariadeniam používateľov
-Problémy bez vplyvu na bezpečnosť (napr.: nenačítanie webovej stránky)
-Zbrane, ktoré nie sú súčasťou BTCsquare
-Hishing (napr.: Základné overovanie HTTP phishing)
-Teoretické zraniteľnosti bez skutočného dôkazu konceptu
-Chyby v overovaní e-mailu, vypršanie platnosti odkazov na obnovenie hesla, a zásady zložitosti hesla
-Zraniteľnosti odhaľujúce interné IP adresy alebo domény
-Tabnabbing
-Self-XSS
-Neplatné alebo chýbajúce záznamy SPF (Sender Policy Framework) (neúplné alebo chýbajúce SPF/DKIM/DMARC)
-Clickjacking/preformátovanie používateľského rozhrania s minimálnym bezpečnostným dopadom
-Numerácia e-mailov alebo mobilných zariadení (napr.Napr. schopnosť identifikovať e-maily prostredníctvom obnovenia hesla
-Únik informácií s minimálnym bezpečnostným dopadom (napr. sledovanie zásobníkov, zisťovanie ciest, výpisy adresárov, protokoly)
-Interné známe problémy, opakujúce sa problémy alebo predtým zverejnené problémy
-Zraniteľnosti platné len pre zastarané verzie prehliadačov alebo platforiem
-Zraniteľnosti súvisiace s automatickým vypĺňaním webových formulárov
-Použitie už známych zraniteľných knižníc bez skutočného dôkazu konceptu
-Nedostatok bezpečnostných príznakov v súboroch cookie
.
Podmienky a pravidlá
(1) Vyhradzujeme si právo na konečné vysvetlenie programu odmien.
(2) Odmenu dostane len prvý nahlásený prípad zraniteľnosti.
(3) V prípade krádeže súkromných údajov alebo majetku používateľov BTCsquare budeme uplatňovať právnu zodpovednosť.
(4) Odmena bude vyplatená v PLNEJ výške na váš účet registrovaný na BTCsquare.
(5) Prešetrenie nahlásenia môže trvať 2-3 týždne.
Ak máte akékoľvek otázky, kontaktujte nás:
Zákaznícka podpora.