Безопасность средств и персональных данных наших пользователей — наш главный приоритет. Поэтому безопасность нашей платформы и услуг является областью, над которой мы ежедневно работаем и внедряем ряд современных технологий безопасности. Тем не менее, вклад исследователей безопасности, которые помогают нам защищать наши продукты и пользователей, чрезвычайно важен для нас, поэтому мы запустили программу по выявлению уязвимостей с вознаграждением. Условия нашей программы Bug Bounty описаны в этой Политике Bug Bounty.

Не подходит для вознаграждения

Уязвимости, обнаруженные в ресурсах за пределами области программы, вряд ли будут вознаграждены, если только они не представляют серьезного бизнес-риска (по нашему усмотрению). В целом, следующие уязвимости не соответствуют порогу серьезности:

WEB

• ●    Уязвимости в сторонних приложениях
• ●    Спам (SMS, email и т.д.)
• ●    Проблемы с лучшими практиками без реального воздействия на безопасность
• ●    Недавние (менее 30 дней) раскрытые уязвимости
• ●    Уязвимости, затрагивающие пользователей устаревших браузеров или платформ
• ●    Социальная инженерия, фишинг, физические или другие мошеннические действия
• ●    Открытые панели входа без доказательства эксплуатации
• ●    Отчеты, утверждающие, что программное обеспечение устарело/уязвимо без предоставления доказательства концепции
• ●    Уязвимости, связанные с активным контентом, таким как расширения браузера
• ●    Большинство проблем с брутфорсом без четкого воздействия
• ●    Теоретические проблемы
• ●    Отсутствие HTTP-безопасных заголовков без реального воздействия на безопасность
• ●    Проблемы с TLS/SSL сертификатами
• ●    Проблемы с DNS (например, MX-записи, SPF-записи и т.д.)
• ●    Проблемы с конфигурацией сервера (например, открытые порты, TLS и т.д.)
• ●    Открытые редиректы
• ●    Фиксация сеанса
• ●    Перечисление пользовательских аккаунтов
• ●    Clickjacking/Tapjacking и проблемы, которые можно эксплуатировать только через clickjacking/tapjacking
• ●    Описательные сообщения об ошибках (например, стековые трассировки, ошибки приложения или сервера)
• ●    Self-XSS, не приводящий к эксплуатации других пользователей
• ●    CSRF для входа и выхода
• ●    Слабые капчи/обход капчи без четкого воздействия
• ●    Отсутствие флагов Secure и HTTPOnly для cookies
• ●    Перечисление имени пользователя/электронной почты через сообщения об ошибках на странице входа/восстановления пароля
• ●    CSRF в формах, доступных для анонимных пользователей (например, контактная форма)
• ●    Включенный HTTP-метод OPTIONS/TRACE
• ●    Проблемы с заголовком хоста без доказательства концепции, демонстрирующего уязвимость
• ●    Спуфинг контента и проблемы с инъекцией текста без демонстрации вектора атаки/без возможности изменить HTML/CSS
• ●    Спуфинг контента без встроенных ссылок/HTML
• ●    Отраженная загрузка файла (RFD) без четкого воздействия
• ●    Смешанный HTTP-контент
• ●    Скрипты HTTPS смешанного контента
• ●    Проблемы DoS/DDoS
• ●    Манипуляции с токеном сброса пароля
• ●    MitM и локальные атаки
• ●    Уже известные нам уязвимости, или уже сообщенные кем-то другим (вознаграждение предоставляется первому сообщившему)
• ●    Проблемы без воздействия на безопасность

МОБИЛЬНЫЕ УСТРОЙСТВА

• ●    Атаки, требующие физического доступа к устройству пользователя
• ●    Уязвимости, требующие значительных действий пользователя
• ●    Открытие несущественных данных на устройстве
• ●    Отчеты от статического анализа бинарного файла без PoC, затрагивающего бизнес-логику
• ●    Отсутствие обфускации/защиты бинарников/обнаружения root (jailbreak)
• ●    Обход пиннинга сертификатов на взломанных устройствах
• ●    Отсутствие мер защиты от эксплуатации, таких как PIE, ARC или Stack Canaries
• ●    Чувствительная информация в URL-адресах/телах запросов при защите с помощью TLS
• ●    Окружение OAuth и секреты приложения, жестко закодированные/восстановимые в IPA, APK
• ●    Чувствительная информация, сохраненная в виде открытого текста в памяти устройства
• ●    Системы с сбоями из-за искаженных схем URL или намерений, отправленных на экспортируемую активность/сервис/приемник широковещательных сообщений (использование этих уязвимостей для утечек чувствительных данных обычно подходит)
• ●    Любая чувствительная информация, хранящаяся в частной директории приложения
• ●    Эксплойти с использованием инструментов, таких как Frida/Appmon (эксплойти, возможные только в среде с jailbreak)
• ●    Утечка URI из-за того, что злонамеренное приложение имеет разрешение на просмотр открытых URI
• ●    Утечка API-ключей без воздействия на безопасность (например, ключи Google Maps и т.д.)

Вознаграждение

Нет ограничения по максимальному и минимальному размеру вознаграждения, мы оставляем за собой право увеличить или уменьшить размер вознаграждения в зависимости от серьезности найденной уязвимости. Исследователи с большей вероятностью получат увеличенные вознаграждения, если они смогут продемонстрировать, как обнаруженная уязвимость может быть использована для причинения наибольшего ущерба.

Удаленный код: $10,000

Манипуляции с балансом пользователя: $10,000

XSS/CSRF/Clickjacking, затрагивающие балансы/торговлю/обмен/депозиты: $2,000

Кража данных, связанных с паролями/API-ключами/персональной информацией: $2,000

Частичное обход аутентификации: $1,500

Другая уязвимость с явным потенциалом для финансовых потерь или потерь данных: $500

Другие CSRF (кроме CSRF при выходе): $500

Правила и рекомендации по отчетности о уязвимостях и получению вознаграждения

Учитывая незаконный характер несанкционированного доступа к компьютерным системам, мы обязуемся не предпринимать юридических действий против исследователей, а также не обращаться в правоохранительные органы для расследования случаев нарушения безопасности исследователями, если они соблюдают стандарты отрасли и руководящие принципы ответственного раскрытия, описанные в этом разделе.

1. 1. Основные моменты для получения вознаграждения за обнаружение уязвимостей:

• ●    немедленно отправить отчет на security@cryptoway.com
• ●    предоставить достаточно времени для исправления уязвимости/слабости/проблемы до того, как информация о ней будет каким-либо образом публично объявлена
• ●    НЕ нанести ущерб инфраструктуре Cryptoway и её пользователям
• ●    НЕ вводить в заблуждение пользователей или сотрудников Cryptoway при обнаружении уязвимостей

2. 2. Вы должны быть первыми, кто сообщил о уязвимости, чтобы получить вознаграждение.
3. 3. В случае цепочки уязвимостей мы платим только за уязвимость с наибольшей серьезностью.
4. 4. Вы должны отправить четкое текстовое описание проделанной работы, а также шаги для воспроизведения уязвимости.
5. 5. Руководство по ответственному раскрытию:

• ●    Предоставить детали уязвимости, включая информацию, необходимую для воспроизведения и проверки уязвимости.
• ●    Приложить усилия добросовестности для избегания нарушения конфиденциальности, уничтожения данных и прерывания или ухудшения наших услуг.
• ●    Не изменять и не получать доступ к данным, которые вам не принадлежат.
• ●    Сообщить о уязвимости как можно скорее.
• ●    Не используйте обнаруженные уязвимости для несправедливого обогащения. Если вы используете уязвимость таким образом, чтобы причинить ущерб Cryptoway, нашим пользователям и третьим сторонам и не сообщаете о ней Cryptoway, вы не получите вознаграждение и мы оставляем за собой право начать юридические действия против вас.
• ●    Не нарушать закон и оставаться в рамках определенного объема, не участвовать в незаконной деятельности (действиях).
• ●    После отправки отчета вы не можете рассказывать кому-либо или где-либо о уязвимости. Публичное раскрытие уязвимости делает её непригодной для вознаграждения. Более того, вы не должны хранить скриншоты и/или исполнимые коды и сценарии, связанные с уязвимостью, чтобы не сделать информацию доступной третьим лицам.

Не связаны с безопасностью проблемы

Вы можете сообщить нам о проблемах, не связанным с безопасностью, по адресу security@cryptoway.com