Programme de primes de sécurité

Aucune technologie n'est parfaite. Chez Cryptohopper, nous nous assurons sans cesse que les traders peuvent gérer leurs portefeuilles sans avoir à se soucier de leurs données et de l'exécution des transactions. Si vous trouvez quelque chose qui affecte potentiellement la sécurité de nos utilisateurs, nous apprécions votre aide et récompensons les informations exploitables.

Dans le champ d'application

Vous pouvez soumettre un nombre illimité de vulnérabilités dans nos systèmes. Cependant, toutes les vulnérabilités ne sont pas égales. Si vous trouvez une vulnérabilité dans les catégories suivantes, veuillez nous contacter dès que possible


Les domaines et applications suivants peuvent être récompensés dans le cadre de ce programme

  • Vulnérabilités d'injection SQL
  • Vulnérabilités en matière de cryptage
  • Exécution de code à distance
  • Contournement de l'authentification, accès non autorisé aux données
  • Entité externe XML
  • Chargement Bucket S3
  • Falsification de requête côté serveur

Les domaines et applications suivants peuvent être récompensés dans le cadre de ce programme :

  • www.cryptohopper.com
  • api.cryptohopper.com
  • Application iOS sur l'Apple Store : cryptohopper-crypto-trading/id1463052050
  • Application Android sur Google Play Store : com.cryptohopper_mobile

Hors champ d'application

Nous n'acceptons pas de candidatures dans les catégories suivantes :

  • Possibilité de créer des comptes d'utilisateurs sans aucune limite
  • Capacité à effectuer une action non disponible via l'interface utilisateur sans risques de sécurité identifiés
  • Possibilité d'envoyer des e-mails sans contrôle du contenu et sans aucune limite
  • Toute activité susceptible d'entraîner la perturbation de nos services (DoS)
  • Attaques nécessitant un accès MiTM ou physique à l'appareil d'un utilisateur
  • Détournement de clics
  • Usurpation de contenu et injection de texte
  • Injection CSV sans démonstration de vulnérabilité
  • Divulgation d'informations non sensibles, telles que la version du produit, le chemin d'accès au fichier sur un serveur, les traces d'appels, etc.
  • Divulgation de l'origine et des adresses IP privées ou des domaines pointant vers des adresses IP privées
  • Fuite de jetons sensibles (par exemple, jeton de réinitialisation de mot de passe) à des tiers de confiance sur une connexion sécurisée (HTTPS)
  • Absence de bonnes pratiques dans la configuration SSL/TLS
  • Absence de bonnes pratiques dans la configuration du DNS (DKIM/DMARC/SPF/TXT)
  • Absence de bonnes pratiques dans les en-têtes HTTP sans démonstration d'une vulnérabilité
  • Absence de notifications concernant des actions importantes
  • Absence de mécanisme de protection ou de bonnes pratiques sans démonstration de l'impact réel sur la sécurité de l'utilisateur ou du système
  • Bibliothèques vulnérables précédemment connues sans preuve de concept opérationnelle
  • Les rapports qui ne comprennent que des crash dumps ou des résultats d'outils automatisés sans une preuve de concept fonctionnelle.
  • CSRF connexion/déconnexion/non authentifié
  • Énumération des utilisateurs
  • Vecteurs nécessitant un environnement non corrigé (par exemple, mises à jour Windows manquantes)
  • Vecteurs nécessitant des versions de navigateurs publiées 6 mois ou plus avant la soumission du rapport
  • Absence de limitation de taux sur les points finaux
  • Falsification des requêtes intersites (CSRF)

Comment soumettre une vulnérabilité

Vous pouvez nous soumettre des vulnérabilités par e-mail à l'adresse [email protected].

Indiquez de manière concise dans votre e-mail la vulnérabilité que vous avez trouvée. Incluez en particulier les éléments suivants dans votre e-mail :

  • Quelle vulnérabilité
  • Les démarches que vous avez entreprises
  • URL complet
  • Objets (en tant que filtres ou champs d'entrée) concernés
  • Les captures d'écran et de vidéos sont très appréciées.
  • Indiquez votre adresse IP dans le rapport de bug, qui restera privé et sera utilisé pour suivre vos activités de test et examiner les logs de notre côté.
  • Décrivez le problème constaté de manière aussi explicite et détaillée que possible et fournissez toutes les preuves dont vous disposez. Considérez que la notification sera reçue par des spécialistes

Règles

Prenez vos responsabilités et agissez avec une extrême prudence. N'utilisez que les méthodes ou techniques nécessaires pour trouver ou démontrer les vulnérabilités.

  • Soyez un hacker éthique et respectez la vie privée des autres utilisateurs.
  • N'utilisez pas les vulnérabilités que vous découvrez à des fins autres que votre propre enquête.
  • Ne divulguez pas les vulnérabilités à d'autres parties que Cryptohopper, donnez-nous un délai raisonnable pour résoudre le problème avant de le divulguer au public ou à une tierce partie.
  • N'utilisez pas l'ingénierie sociale pour avoir accès à un système
  • N'installez pas de backdoors ou portes dérobées, même pour démontrer la vulnérabilité d'un système. Les portes dérobées compromettent la sécurité des systèmes
  • Ne modifiez ni ne supprimez aucune information dans le système. Si vous devez copier des informations pour votre enquête, ne copiez jamais plus que ce dont vous avez besoin. Si un seul enregistrement suffit, n'allez pas plus loin
  • Ne pas modifier le système de quelque manière que ce soit
  • N'infiltrez un système qu'en cas d'absolue nécessité. Si vous parvenez à vous infiltrer dans un système, ne partagez pas l'accès avec d'autres personnes.
  • Ne pas utiliser de techniques par force brute, telles que la saisie répétée de mots de passe, pour accéder aux systèmes.
  • Sécurisez vos propres systèmes le plus rigoureusement possible

Récompenses

Notre système de récompense est flexible et ne prévoit pas de montant minimum/maximum ; les récompenses sont basées sur la gravité, l'impact et la qualité du rapport. Pour recevoir une récompense, vous devez résider dans un pays qui ne figure pas sur les listes de sanctions (par exemple, Cuba, Iran, Corée du Nord, Soudan et Syrie). Il s'agit d'un programme discrétionnaire et Cryptohopper se réserve le droit d'annuler le programme ; la décision de payer ou non une récompense est laissée à notre discrétion.

Autres considérations :

  • En cas de doublons, nous ne récompensons que le premier rapport que nous recevons
  • Les vulnérabilités multiples causées par un problème sous-jacent seront récompensées par une seule prime.
  • Nos ingénieurs doivent être en mesure de reproduire la faille de sécurité à partir de votre rapport. Les rapports trop vagues ou peu clairs ne peuvent pas être récompensés. Les rapports qui contiennent des explications clairement rédigées et du code fonctionnel ont plus de chances d'être récompensés.
FAQ
Questions fréquentes
Cryptohopper apprécie grandement les efforts que vous déployez pour nous aider à sécuriser nos systèmes et nos processus. En fonction de leur impact, nous déterminerons la récompense. La récompense n'est pas toujours monétaire, elle peut aussi prendre la forme d'abonnements à Cryptohopper.
Ne rendez jamais publiques les vulnérabilités de nos systèmes informatiques ou de votre enquête sans nous consulter au préalable. Nous pouvons travailler ensemble pour empêcher les criminels d'abuser de vos informations. Consultez nos experts en sécurité et donnez-nous le temps de résoudre le problème.
Oui, c'est possible. Vous n'êtes pas obligé de nous donner votre nom et vos coordonnées lorsque vous signalez une vulnérabilité. Sachez toutefois que nous ne pourrons pas vous consulter sur les mesures de suivi, par exemple sur ce que nous faisons de votre rapport, sur la poursuite de la collaboration ou sur l'envoi d'une récompense.
Veuillez envoyer les problèmes de sécurité à [email protected] en utilisant la clé PGP fournie dans la documentation du programme de primes de sécurité.

Clause de non-responsabilité : Cryptohopper n'est pas une entité réglementée. Le trading de crypto-monnaies avec des bots implique des risques substantiels, et les performances passées ne sont pas indicatives des résultats futurs. Les gains indiqués dans les captures d'écran des produits sont à titre d'illustration et peuvent être exagérés. Ne vous engagez dans le bot trading que si vous possédez des connaissances suffisantes ou si vous demandez l'avis d'un conseiller financier qualifié. En aucun cas Cryptohopper n'acceptera de responsabilité envers une personne ou une entité pour (a) toute perte ou dommage, en tout ou en partie, causé par, découlant de, ou en relation avec des transactions impliquant notre logiciel ou (b) tout dommage direct, indirect, spécial, consécutif, ou accessoire. Veuillez noter que le contenu disponible sur la plateforme de trading social de Cryptohopper est généré par les membres de la communauté Cryptohopper et ne constitue pas un conseil ou une recommandation de la part de Cryptohopper ou en son nom. Les profits affichés sur le marketplace ne sont pas indicatifs des résultats futurs. En utilisant les services de Cryptohopper, vous reconnaissez et acceptez les risques inhérents à l'exchange de crypto-monnaies et acceptez de dégager Cryptohopper de toute responsabilité ou perte encourue. Il est essentiel d'examiner et de comprendre nos conditions de service et notre politique de divulgation des risques avant d'utiliser notre logiciel ou de s'engager dans des activités de trading. Veuillez consulter des professionnels juridiques et financiers pour obtenir des conseils personnalisés en fonction de votre situation particulière.

©2017 - 2023 Droits d'auteurs Cryptohopper™ - Tous droits réservés.