Sicherheitsprämienprogramm

Keine Technologie ist perfekt. Bei Cryptohopper nehmen wir die Sicherheit der Gelder und Daten unserer Nutzer sehr ernst – und wir schätzen jeden Forscher, der dieses Engagement teilt. Wir begrüßen alle umsetzbaren Meldungen und zahlen nur Belohnungen für Funde, die eine echte, nachweisbare Auswirkung haben.

Unser Engagement gegenüber Forschenden

Wir möchten, dass Sicherheitsforschung sicher und lohnend ist. Wenn du die Regeln in diesem Programm befolgst, verpflichten wir uns zu Folgendem:

• oBestätigen Sie Ihren Bericht innerhalb von 5 Werktagen
• oWir halten Sie auf dem Laufenden, während wir Ihr Anliegen priorisieren und an einer Lösung arbeiten
• oKeine zivil- oder strafrechtlichen Schritte gegen Sie einleiten für Sicherheitsforschung, die im Rahmen dieses Programms durchgeführt wird
• oBitte warte 30 Tage, bevor du einen Fund öffentlich bekannt gibst, damit wir Zeit haben, das Problem zu beheben und unsere Nutzer zu schützen

Wir bitten dich, uns eine faire Chance zu geben zu reagieren, bevor du an die Öffentlichkeit gehst. Wenn wir das 30-tägige Zeitfenster ohne triftigen Grund verpassen, werden wir gemeinsam mit dir einen abgestimmten Offenlegungszeitplan ausarbeiten.

Worüber wir informiert werden möchten

Um für eine Belohnung in Frage zu kommen, muss eine Einsendung einen funktionierenden Proof of Concept und eine klare Beschreibung dessen enthalten, was ein Angreifer tatsächlich tun könnte. Wir priorisieren Funde in folgenden Bereichen:

Systemkompromittierung

• oRemote-Code-Ausführung
• oSQL-Injection
• oAndere Injection-Typen (NoSQL, Command-, Template-Injection) mit einem funktionierenden Exploit
• oXML External Entity (XXE)
• oServer-Side Request Forgery (SSRF)
• oS3-Bucket-Zugriff/-Upload

Konto- und Datensicherheit

• oUmgehung der Authentifizierung oder unbefugter Datenzugriff
• oUnsichere direkte Objektverweise (IDOR) – Zugriff auf die Daten eines anderen Benutzers durch Manipulation von IDs
• oSitzungs- oder Token-Schwachstellen (Session-Fixierung, vorhersagbare Tokens, fehlerhafte Verwendung von JWT), die zur Übernahme von Konten führen
• oCross-Site Scripting (XSS), das Sitzungen oder Zugangsdaten stehlen kann
• oOffenlegung sensibler Daten – private Schlüssel, API-Secrets oder personenbezogene Daten (PII), die in Responses, JS-Bundles oder Logs sichtbar sind

Finanzielle Auswirkungen

Geschäftslogikfehler, die unbefugten Handel, Order-Manipulation oder Missbrauch von Guthaben ermöglichen

Kryptografie

Verschlüsselungsschwachstellen

Andere Arten von Schwachstellen können in Frage kommen, wenn du einen klaren, realen Einfluss auf Benutzerdaten, Gelder oder die Systemintegrität nachweisen kannst.

In-Scope-Assets

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oiOS-Anwendung im Apple Store: cryptohopper-crypto-trading/id1463052050
• oAndroid-Anwendung im Google Play Store: com.cryptohopper_mobile

Was wir nicht belohnen

Die folgenden Punkte liegen außerhalb des Geltungsbereichs. Meldungen in diesen Kategorien erhalten keine Prämie und möglicherweise keine ausführliche Antwort.

Qualität des Berichts

• oKein funktionierender Proof of Concept – wir müssen den Fund reproduzieren können
• oNur Ausgaben von automatisierten Scannern (Burp, Nessus, Nuclei usw.) ohne manuellen Proof of Concept
• oKI-generierte oder vorgefertigte Berichte, die keine eigene, verifizierte Forschung widerspiegeln
• oDoppelte Meldungen – wir belohnen die erste Meldung, die wir erhalten
• oSelf-XSS — betrifft nur den Melder und hat keine Auswirkungen auf andere Nutzer
• oZuvor bekannte verwundbare Bibliotheken ohne funktionierenden Exploit

Umfang und Umgebung

• oTests an assets, die nicht als im scope aufgeführt sind (Staging-Umgebungen, Partnerseiten, Integrationen von Drittanbietern)
• oProbleme, die einen vorherigen Kompromittierung des Geräts oder Kontos des Nutzers erfordern, es sei denn, unser System ist der direkte Ermöglicher
• oProbleme auf jailbroken oder gerooteten Geräten oder bei nicht standardmäßigen Client-Konfigurationen (benutzerdefinierte Proxys, modifizierte Apps), es sei denn, die Auswirkung ist kritisch und realistisch
• oSchwachstellen in veralteten oder eingestellten Produkten, die wir nicht mehr unterstützen
• oVektoren, die ungepatchte Umgebungen (z. B. fehlende OS-Updates) oder Browserversionen erfordern, die älter als 6 Monate sind
• oAngriffe, die MiTM oder physischen Gerätezugriff erfordern

Geringe Auswirkungen und nur bewährte Vorgehensweisen

• oÖffentliche Schlüssel aus Integrationen von Drittanbietern (z. B. öffentliche exchange API-Schlüssel) – diese sind nicht geheim und stellen keine Sicherheitslücke dar
• oOffene Weiterleitungen ohne realistische Angriffskette (kein Token-Diebstahl, kein sinnvoller Phishing-Pfad)
• oClickjacking ohne ein sinnvolles Angriffsszenario
• oCSRF, einschließlich nicht authentifizierter Login-/Logout-CSRF-Angriffe
• oBenutzeraufzählung
• oOffenlegung von Bannern, Versionsinformationen oder Stack-Traces ohne einen nachgewiesenen Folgeangriff
• oOffenlegung von IP-Adresse oder Herkunft
• oFehlende Ratenbegrenzung ohne ein klar erkennbares Missbrauchsszenario
• oFehlende Best Practices in SSL/TLS, DNS (DKIM/DMARC/SPF) oder HTTP-Headern, sofern du keine tatsächlichen Auswirkungen nachweisen kannst
• oFehlende Subresource Integrity (SRI), ohne Nachweis, dass das Skript tatsächlich manipuliert werden kann
• oInhalts-Spoofing oder Texteinschleusung
• oCSV-Injection ohne funktionierenden Exploit
• oMöglichkeit, Konten zu erstellen oder E-Mails ohne Einschränkungen zu versenden (kein nachgewiesener Missbrauch)
• oOffenlegung nicht sensibler Informationen (Produktversionen, Dateipfade)
• oToken-Leckage an vertrauenswürdige Drittparteien über HTTPS
• oFehlende Benachrichtigungen für Benutzeraktionen
• oDoS/DDoS

Verhalten

• oBitte verknüpfen Sie Ihren Bericht nicht mit Zahlungsforderungen oder Androhungen einer Offenlegung. Wir behandeln jeden Bericht fair und bemessen Belohnungen ausschließlich nach technischer Qualität und Auswirkung. Berichte, die mit Forderungen oder Drohungen einhergehen, sind nicht für eine Belohnung berechtigt.
• oVerstöße gegen die Programmregeln (unbefugter Datenzugriff, öffentliche Offenlegung vor der Behebung usw.)

So reichst du einen Beitrag ein

E-Mail [email protected]. Wir bestätigen den Eingang deines Berichts innerhalb von 5 Werktagen.

Wie geht es weiter

1. Bestätigung – wir bestätigen den Eingang innerhalb von 5 Werktagen
2. Triage – unser Sicherheitsteam prüft und reproduziert den Fund
3. Behebung — wir arbeiten an einer Lösung und halten dich auf dem Laufenden
4. Belohnung — falls berechtigt, besprechen wir die Details und zahlen die Prämie aus
5. Offenlegung — wir bitten um 30 Tage, bevor eine öffentliche Offenlegung erfolgt

Ein guter Bericht erleichtert es unseren Ingenieuren, das Problem zu reproduzieren und die Auswirkungen zu verstehen. Bitte fügen Sie Folgendes hinzu:

1. Auswirkungsbeschreibung – was kann ein Angreifer tatsächlich tun? (z. B. „Ein Angreifer kann jedes beliebige Konto übernehmen, indem …“)
2. Schritt-für-Schritt-Reproduktion – genaue Schritte, Anfragen oder ein minimales Skript
3. Proof of Concept — ein funktionierendes Skript oder eine Abfolge von Requests
4. Betroffene URL und Parameter — vollständige URL, Filter oder beteiligte Felder
5. Screenshots oder Video (sehr willkommen)
6. Deine IP-Adresse – bleibt privat und wird verwendet, um sie mit unseren Logs abzugleichen

Berichte, die vage sind, keine klaren Auswirkungen erkennen lassen oder nicht reproduziert werden können, sind nicht für eine Belohnung berechtigt und erhalten möglicherweise keine ausführliche Antwort.

Regeln

Teste verantwortungsbewusst. Verwende nur Methoden, die notwendig sind, um eine Schwachstelle zu finden oder nachzuweisen.

• oRespektiere die Privatsphäre anderer Nutzer – greife nicht auf Daten zu, die über das unbedingt Notwendige zum Nachweis des Problems hinausgehen
• oNutze Schwachstellen nicht für andere Zwecke aus als für deine eigene Untersuchung.
• oVeröffentlichen Sie Schwachstellen nicht öffentlich und geben Sie sie innerhalb von 30 Tagen nach Ihrem Bericht nicht an Dritte weiter; geben Sie uns Zeit, das Problem zu beheben, bevor Sie damit an die Öffentlichkeit gehen.
• oVerwenden Sie keine Social-Engineering-Methoden, um Zugang zu erhalten
• oInstallieren Sie keine Hintertüren, verändern Sie keine Daten und nehmen Sie keinerlei Änderungen am System vor.
• oVerwenden Sie keine Brute-Force-Techniken
• oFühren Sie keine Denial-of-Service-Tests durch
• oBehalte den Zugriff für dich – gib Systemzugang nicht an andere weiter

Belohnungen

Wir schätzen alle umsetzbaren Meldungen – jede ernsthafte Einsendung hilft uns, unsere Nutzer zu schützen. Belohnungen sind jedoch Ergebnissen vorbehalten, die nachweisbare, reale Auswirkungen haben. Die Auszahlung richtet sich nach Schweregrad, Auswirkungen und Qualität des Berichts; es gibt keinen festen Mindest- oder Höchstbetrag.

Wir zahlen keine Belohnungen für Probleme mit geringer Auswirkung, theoretische Funde ohne funktionierenden Exploit oder für automatisierte bzw. KI-generierte Berichte.

Um teilnahmeberechtigt zu sein, müssen Sie in einem Land leben, das keinen geltenden Sanktionen unterliegt (z. B. Kuba, Iran, Nordkorea, Sudan, Syrien). Dies ist ein Ermessensprogramm — Cryptohopper behält sich das Recht vor, es jederzeit zu beenden oder die Auszahlung einer Belohnung zu verweigern.

Einige Dinge, die du beachten solltest:

• oWenn Duplikate auftreten, wird nur der zuerst eingegangene Bericht belohnt
• oMehrere Schwachstellen mit derselben Ursache werden als ein einzelner Fund behandelt
• oBelohnungen können nach unserem Ermessen entweder monetär sein oder in Form eines Cryptohopper-Abonnements gewährt werden
• oMonetäre Belohnungen werden über PayPal (weltweit) oder per Banküberweisung (nur EU) ausgezahlt