Programa de recompensas de seguridad

Ninguna tecnología es perfecta. En Cryptohopper, siempre queremos asegurarnos de que los operadores puedan gestionar sus carteras sin necesidad de preocuparse por sus datos y la ejecución de sus operaciones. Si encuentras algo que potencialmente afecte a la seguridad de nuestros usuarios, agradecemos tu ayuda y recompensamos la información procesable

En el alcance

Puedes presentar cualquier número de vulnerabilidades en nuestros sistemas. Sin embargo, no todas las vulnerabilidades son iguales. Si encuentras una vulnerabilidad en las siguientes categorías, ponte en contacto con nosotros lo antes posible


Los siguientes dominios y aplicaciones pueden optar a las recompensas de este programa

  • Vulnerabilidades de inyección SQL
  • Vulnerabilidades de cifrado
  • Ejecución remota de código
  • Evasión de autenticación, acceso no autorizado a datos
  • Entidad externa XML
  • Carga de cubos S3
  • Falsificación de peticiones del lado del servidor

Los siguientes dominios y aplicaciones pueden optar a las recompensas de este programa:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • Aplicación iOS en Apple Store: cryptohopper-crypto-trading/id1463052050
  • Aplicación Android en Google Play Store: com.cryptohopper_mobile

Fuera de alcance

No se aceptan candidaturas en las siguientes categorías:

  • Posibilidad de crear cuentas de usuario sin límites
  • Capacidad para realizar una acción no disponible a través de la interfaz de usuario sin riesgos de seguridad identificados.
  • Posibilidad de enviar correos electrónicos sin control sobre el contenido y sin límites
  • Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS)
  • Ataques que requieren MiTM o acceso físico al dispositivo de un usuario.
  • Clickjacking
  • Suplantación de contenidos e inyección de texto
  • Inyección de CSV sin demostrar una vulnerabilidad
  • Revelación de información no sensible, como la versión del producto, la ruta del archivo en un servidor, el seguimiento del stack, etc.
  • Revelación del origen y direcciones IP privadas o dominios que apuntan a direcciones IP privadas
  • Filtración de tokens sensibles (por ejemplo, token de restablecimiento de contraseña) a terceros de confianza en conexión segura (HTTPS).
  • Falta de buenas prácticas en la configuración de SSL/TLS
  • Falta de buenas prácticas en la configuración de DNS (DKIM/DMARC/SPF/TXT)
  • Falta de buenas prácticas en las cabeceras HTTP sin demostrar una vulnerabilidad
  • Notificaciones faltantes sobre acciones importantes
  • Ausencia de mecanismo de protección o mejores prácticas sin demostración del impacto real en la seguridad para el usuario o el sistema
  • Bibliotecas vulnerables previamente conocidas sin una prueba de concepto operativa
  • Informes que sólo incluyen volcados de datos o resultados de herramientas automatizadas sin una prueba de concepto operativa.
  • No autenticado/inicio de sesión/cierre de sesión CSRF
  • Enumeración de usuarios
  • Vectores que requieren un entorno sin parches (por ejemplo, actualizaciones de Windows que faltan)
  • Vectores que requieren versiones del navegador publicadas 6 o más meses antes de la presentación del informe
  • Falta la limitación de la tasa en los puntos finales
  • Falsificación de petición en sitios cruzados (CSRF)

Cómo presentar una vulnerabilidad

Puedes enviarnos vulnerabilidades por correo electrónico a [email protected].

Indica de forma concisa en tu correo electrónico qué vulnerabilidad has encontrado. En particular, incluye lo siguiente en tu correo electrónico:

  • Qué vulnerabilidad
  • Los pasos que seguiste
  • La URL completa
  • Objetos (como filtros o campos de entrada) implicados
  • Las capturas de pantalla y los vídeos de pantalla son muy apreciados
  • Proporciona tu dirección IP en el informe de errores, que se mantendrá privada y se utilizará para realizar un seguimiento de tus actividades de prueba y revisar los registros por nuestra parte.
  • Describe el problema encontrado de la forma más explícita y detallada posible y aporta las pruebas de que dispongas. Puedes suponer que la notificación será recibida por especialistas.

Reglas

Asume tu responsabilidad y actúa con extremo cuidado y precaución. Cuando investigues el asunto, utiliza únicamente los métodos o técnicas que sean necesarios para encontrar o demostrar las vulnerabilidades.

  • Sé un hacker ético y respeta la privacidad de los demás usuarios
  • No utilices las vulnerabilidades que descubra para fines distintos de tu propia investigación.
  • No reveles las vulnerabilidades a otras partes después de Cryptohopper, danos un tiempo razonable para resolver el problema antes de revelarlo al público o a terceros.
  • No utilices la ingeniería social para acceder a un sistema
  • No instales puertas traseras, ni siquiera para demostrar la vulnerabilidad de un sistema. Las puertas traseras comprometerán la seguridad de los sistemas
  • No alteres ni borres ninguna información del sistema. Si necesitas copiar información para tu investigación, no copies nunca más de lo que necesites. Si un registro es suficiente, no vayas más lejos.
  • No alteres el sistema de ninguna manera
  • Infíltrate en un sistema solo si es absolutamente necesario. Si consigues infiltrarte en un sistema, no compartas el acceso con otras personas.
  • No utilices técnicas de fuerza bruta, como la introducción repetida de contraseñas, para acceder a los sistemas.
  • Protege tus propios sistemas de la forma más estricta posible

Recompensas

Mantenemos la flexibilidad con nuestro sistema de recompensas y no tenemos una cantidad mínima/máxima; las recompensas se basan en la gravedad, el impacto y la calidad del informe. Para recibir una recompensa, debes residir en un país que no figure en las listas de sanciones (por ejemplo, Cuba, Irán, Corea del Norte, Sudán y Siria). Este es un programa discrecional y Cryptohopper se reserva el derecho de cancelar el programa; la decisión de pagar o no una recompensa queda a nuestra discreción.

Consideraciones adicionales:

  • En caso de duplicados, sólo se premiará el primer informe que se reciba.
  • Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa.
  • Nuestros ingenieros deben ser capaces de reproducir el fallo de seguridad a partir del informe. Los informes demasiado vagos o poco claros no pueden optar a recompensa. Los informes que incluyen explicaciones escritas con claridad y código de trabajo tienen más probabilidades de obtener recompensas.
PREGUNTAS FRECUENTES
Preguntas más frecuentes
Cryptohopper aprecia enormemente tu esfuerzo por ayudarnos a proteger nuestros sistemas y procesos. Dependiendo del impacto, determinaremos la recompensa. La recompensa no siempre es monetaria, sino que también puede ser en forma de suscripciones a Cryptohopper.
Nunca hagas públicas las vulnerabilidades de nuestros sistemas informáticos o de tu investigación sin consultarnos antes. Podemos trabajar juntos para evitar que los delincuentes abusen de tu información. Consulta a nuestros expertos en seguridad y danos tiempo para resolver el problema.
Sí, puedes hacerlo. No tienes que darnos tu nombre ni tus datos de contacto cuando nos informes de una vulnerabilidad. Sin embargo, ten en cuenta que no podremos consultarle sobre las medidas de seguimiento, por ejemplo, qué hacemos con tu informe, una mayor colaboración o el envío de una recompensa.
Por favor, envía los problemas de seguridad a [email protected] utilizando la clave PGP proporcionada en la documentación del Programa de Recompensas de Seguridad

Descargo de responsabilidad: Cryptohopper no es una entidad regulada. El comercio de bots de criptomoneda implica riesgos sustanciales, y el rendimiento pasado no es indicativo de resultados futuros. Las ganancias mostrados en las capturas de pantalla de los productos tienen fines ilustrativos y pueden ser exagerados. Participe en el comercio con bots únicamente si posee conocimientos suficientes o busque la orientación de un asesor financiero cualificado. Bajo ninguna circunstancia Cryptohopper aceptará responsabilidad alguna ante ninguna persona o entidad por (a) cualquier pérdida o daño, total o parcial, causado por, derivado de o en relación con transacciones que impliquen nuestro software o (b) cualquier daño directo, indirecto, especial, consecuente o incidental. Tenga en cuenta que el contenido disponible en la plataforma de comercio social Cryptohopper es generado por los miembros de la comunidad Cryptohopper y no constituye asesoramiento o recomendaciones de Cryptohopper o en su nombre. Las ganancias mostrados en el Marketplace no son indicativos de resultados futuros. Al utilizar los servicios de Cryptohopper, usted reconoce y acepta los riesgos inherentes al comercio de criptomonedas y se compromete a eximir a Cryptohopper de cualquier responsabilidad o pérdida en que incurra. Es esencial revisar y comprender nuestras Condiciones de servicio y Política de divulgación de riesgos antes de utilizar nuestro software o participar en cualquier actividad comercial. Consulte a profesionales jurídicos y financieros para obtener asesoramiento personalizado en función de sus circunstancias específicas.

©2017 - 2023 Copyright por Cryptohopper™ - Todos los derechos reservados.