Program odměn za bezpečnostní zranitelnosti

Žádná technologie není dokonalá. V Cryptohopper bereme bezpečnost prostředků a dat našich uživatelů velmi vážně – a vážíme si každého výzkumníka, který tento závazek sdílí. Vítáme všechny prakticky využitelné reporty a odměny vyplácíme pouze za zjištění, která mají skutečný, prokazatelný dopad.

Náš závazek vůči výzkumníkům

Chceme, aby byl bezpečnostní výzkum bezpečný a smysluplný. Pokud budete dodržovat pravidla tohoto programu, zavazujeme se k následujícímu:

• oPotvrdit přijetí vašeho hlášení do 5 pracovních dnů
• oBudeme vás průběžně informovat během třídění hlášení a práce na opravě
• oNepodnikneme proti vám občanskoprávní ani trestní kroky za bezpečnostní výzkum provedený v rámci tohoto programu.
• oPožádat o 30 dní před veřejným zveřejněním nálezu, abychom měli čas problém opravit a ochránit naše uživatele

Žádáme vás, abyste nám dali férovou šanci zareagovat, než informace zveřejníte. Pokud bez pádného důvodu nestihneme 30denní lhůtu, domluvíme se s vámi na koordinovaném harmonogramu zveřejnění.

O čem chceme slyšet

Aby měl nárok na odměnu, musí podání obsahovat funkční důkaz konceptu a jasný popis toho, co by útočník skutečně mohl udělat. Přednostně se zaměřujeme na nálezy v těchto oblastech:

Kompromitace systému

• oVzdálené spuštění kódu
• oSQL Injection
• oJiné typy injekcí (NoSQL, příkazová, šablonová injekce) s funkčním exploitem
• oExterní entity v XML (XXE)
• oServer-Side Request Forgery (SSRF)
• oPřístup/nahrávání do S3 bucketu

Zabezpečení účtu a dat

• oObcházení autentizace nebo neoprávněný přístup k datům
• oNezabezpečené přímé odkazy na objekty (IDOR) — přístup k datům jiného uživatele manipulací s ID
• oNedostatky v relacích nebo tokenech (fixace relace, předvídatelné tokeny, nesprávné použití JWT) vedoucí k převzetí účtu
• oCross-Site Scripting (XSS), který může odcizit relace nebo přihlašovací údaje
• oZveřejnění citlivých údajů — soukromé klíče, API tajemství nebo osobní identifikovatelné údaje (PII) viditelné v odpovědích, JS balíčcích nebo logách

Finanční dopad

Chyby v obchodní logice, které umožňují neoprávněné obchodování, manipulaci s příkazy nebo zneužití zůstatku

Kryptografie

Zranitelnosti šifrování

Jiné typy zranitelností mohou být uznány, pokud dokážete prokázat jasný, reálný dopad na uživatelská data, prostředky nebo integritu systému.

Aktiva v rozsahu programu

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oiOS aplikace v Apple Store: cryptohopper-crypto-trading/id1463052050
• oAplikace pro Android v obchodě Google Play: com.cryptohopper_mobile

Co neodměňujeme

Následující oblasti jsou mimo rozsah. Hlášení v těchto kategoriích nezískají odměnu a nemusí obdržet podrobnou odpověď.

Kvalita reportu

• oŽádný funkční důkaz konceptu — potřebujeme být schopni nález reprodukovat
• oPouhý výstup z automatizovaných skenerů (Burp, Nessus, Nuclei atd.) bez ručně vytvořeného důkazu konceptu
• oZprávy generované umělou inteligencí nebo podle šablony, které neodrážejí původní, ověřený výzkum
• oDuplicitní reporty — odměňujeme první report, který obdržíme
• oSelf-XSS — ovlivňuje pouze oznamovatele a nemá žádný dopad na ostatní uživatele
• oDříve známé zranitelné knihovny bez funkčního exploitu

Rozsah a prostředí

• oTestování proti aktivům, která nejsou uvedena v rozsahu (staging prostředí, partnerské stránky, integrace třetích stran)
• oProblémy, které vyžadují předchozí kompromitaci uživatelova zařízení nebo účtu, pokud náš systém není jejich přímým umožňovatelem
• oProblémy na jailbreaknutých nebo rootnutých zařízeních či u nestandardních klientských konfigurací (vlastní proxy, upravené aplikace), pokud dopad není kritický a realistický
• oZranitelnosti v zastaralých nebo ukončených produktech, které již nepodporujeme
• oVektory vyžadující nezáplatovaná prostředí (např. chybějící aktualizace OS) nebo verze prohlížeče starší než 6 měsíců
• oÚtoky vyžadující MiTM nebo fyzický přístup k zařízení

Nízký dopad a pouze doporučené postupy

• oVeřejné klíče z integrací třetích stran (např. veřejné klíče API burzy) — tyto klíče nejsou tajné a nepředstavují zranitelnost
• oOtevřená přesměrování bez realistického řetězce útoku (bez krádeže tokenů, bez smysluplné phishingové cesty)
• oClickjacking bez smysluplného scénáře útoku
• oCSRF, včetně neautentizovaného/login/logout CSRF
• oEnumerace uživatelů
• oZveřejnění banneru, verze nebo stack trace bez prokázaného navazujícího útoku
• oZveřejnění IP adresy nebo původu
• oChybějící omezení rychlosti bez jasného scénáře zneužití
• oChybějící osvědčené postupy v SSL/TLS, DNS (DKIM/DMARC/SPF) nebo HTTP hlavičkách, pokud nedokážete prokázat skutečný dopad
• oChybějící Subresource Integrity (SRI) bez důkazu, že skript může být ve skutečnosti pozměněn
• oPodvržení obsahu nebo vložení textu
• oCSV injekce bez funkčního exploitu
• oMožnost vytvářet účty nebo odesílat e-maily bez omezení (bez prokázaného zneužití)
• oZveřejnění necitlivých informací (verze produktu, cesty k souborům)
• oÚnik tokenů k důvěryhodným třetím stranám přes HTTPS
• oChybějící oznámení o uživatelských akcích
• oDoS/DDoS

Chování

• oProsíme, nespojujte své hlášení s požadavky na platbu ani s hrozbami zveřejnění. Ke každému hlášení přistupujeme spravedlivě a odměny zakládáme výhradně na technické úrovni a dopadu. Hlášení doprovázená požadavky nebo hrozbami nebudou mít nárok na odměnu.
• oPorušení pravidel programu (neautorizovaný přístup k datům, zveřejnění informací před opravou atd.)

Jak podat hlášení

Pošlete e-mail na [email protected]. Potvrzení o přijetí vašeho hlášení obdržíte do 5 pracovních dnů.

Co bude dál

1. Potvrzení — potvrzujeme přijetí do 5 pracovních dnů
2. Třídění — náš bezpečnostní tým nález prověří a reprodukuje
3. Oprava — pracujeme na řešení a průběžně vás informujeme
4. Odměna — pokud máte nárok, probereme s vámi detaily a vyplatíme bounty
5. Zveřejnění — žádáme o 30 dní před jakýmkoli veřejným zveřejněním

Kvalitní hlášení našim inženýrům usnadní reprodukovat problém a pochopit jeho dopad. Uveďte prosím:

1. Popis dopadu — co může útočník ve skutečnosti udělat? (např. „Útočník může převzít jakýkoli účet tím, že…“)
2. Reprodukce krok za krokem — přesné kroky, požadavky nebo minimální skript
3. Důkaz konceptu — funkční skript nebo posloupnost požadavků
4. Dotčená adresa URL a parametry — úplná adresa URL, filtry nebo zapojená pole
5. Snímky obrazovky nebo video (velmi vítané)
6. Vaše IP adresa — zůstane soukromá, používá se pouze k porovnání s našimi logy

Hlášení, která jsou neurčitá, neuvádějí jasný dopad nebo je nelze reprodukovat, nemají nárok na odměnu a nemusí obdržet podrobnou odpověď.

Pravidla

Testujte zodpovědně. Používejte pouze metody nezbytné k nalezení nebo prokázání zranitelnosti.

• oRespektujte soukromí ostatních uživatelů — nepřistupujte k datům nad rámec toho, co je nezbytně nutné k prokázání problému
• oNezneužívejte zranitelnosti k žádnému jinému účelu než k vlastnímu šetření
• oNezveřejňujte zranitelnosti veřejně ani třetím stranám během 30 dnů od vašeho nahlášení; dejte nám čas na opravu, než s nimi půjdete na veřejnost.
• oNepoužívejte sociální inženýrství k získání přístupu
• oNeinstalujte zadní vrátka, neupravujte data ani žádným způsobem neměňte systém
• oNepoužívejte techniky hrubé síly
• oNeprovádějte testování typu denial-of-service
• oPonechte si přístup pro sebe — nesdílejte přístup do systému s ostatními

Odměny

Vážíme si všech využitelných hlášení — každé poctivé nahlášení nám pomáhá chránit naše uživatele. Odměny jsou však vyhrazeny pouze za zjištění, která mají prokazatelný dopad v reálném světě. Výše odměny závisí na závažnosti, dopadu a kvalitě hlášení; neexistuje žádné pevně dané minimum ani maximum.

Neodměňujeme hlášení nízkodopadových problémů, teoretických zjištění bez funkčního exploitu ani automatizovaných či AI-generovaných reportů.

Abyste měli nárok, musíte žít v zemi, na kterou se nevztahují příslušné sankce (např. Kuba, Írán, Severní Korea, Súdán, Sýrie). Jedná se o dobrovolný program — Cryptohopper si vyhrazuje právo jej kdykoli zrušit nebo odmítnout vyplatit odměnu.

Několik věcí, které je třeba mít na paměti:

• oKdyž dojde k duplicitám, je odměněno pouze první obdržené hlášení
• oVíce zranitelností vyplývajících z jediné kořenové příčiny je považováno za jeden nález
• oOdměny mohou být peněžní nebo ve formě předplatného Cryptohopper, podle našeho uvážení
• oFinanční odměny jsou vypláceny přes PayPal (celosvětově) nebo bankovním převodem (pouze v EU)