Program Hadiah Keamanan

Tidak ada teknologi yang sempurna. Di Cryptohopper, kami sangat menjaga keamanan dana dan data pengguna kami — dan kami menghargai setiap peneliti yang memiliki komitmen yang sama. Kami menyambut semua laporan yang dapat ditindaklanjuti dan hanya memberikan hadiah untuk temuan yang memiliki dampak nyata dan dapat dibuktikan.

Komitmen kami kepada para peneliti

Kami ingin penelitian keamanan menjadi aman dan bermanfaat. Jika Anda mengikuti aturan dalam program ini, kami berkomitmen untuk:

• oMemberi konfirmasi atas laporan Anda dalam waktu 5 hari kerja
• oMemberi tahu Anda saat kami melakukan triase dan mengerjakan perbaikan
• oTidak akan menuntut Anda secara perdata atau pidana atas penelitian keamanan yang dilakukan dalam ruang lingkup program ini
• oMeminta waktu 30 hari sebelum Anda mengungkapkan temuan secara publik, agar kami memiliki waktu untuk memperbaiki dan melindungi pengguna kami

Kami meminta Anda memberi kami kesempatan yang adil untuk merespons sebelum mengumumkannya ke publik. Jika kami melewati batas waktu 30 hari tanpa alasan yang sah, kami akan bekerja sama dengan Anda untuk menyusun jadwal pengungkapan terkoordinasi.

Hal yang ingin kami dengar

Untuk memenuhi syarat mendapatkan hadiah, sebuah pengajuan harus menyertakan bukti konsep yang berfungsi dan penjelasan yang jelas tentang apa yang sebenarnya dapat dilakukan oleh penyerang. Kami memprioritaskan temuan dalam area berikut:

Kompromi sistem

• oEksekusi Kode Jarak Jauh
• oSQL Injection
• oJenis injeksi lainnya (NoSQL, perintah, injeksi templat) dengan eksploit yang berfungsi
• oEntitas Eksternal XML (XXE)
• oServer-Side Request Forgery (SSRF)
• oAkses/upload S3 Bucket

Keamanan akun dan data

• oPelewatan autentikasi atau akses data tanpa izin
• oInsecure Direct Object References (IDOR) — mengakses data pengguna lain dengan memanipulasi ID
• oCacat pada sesi atau token (session fixation, token yang dapat diprediksi, penyalahgunaan JWT) yang dapat menyebabkan pengambilalihan akun
• oCross-Site Scripting (XSS) yang dapat mencuri sesi atau kredensial
• oPaparan data sensitif — private key, rahasia kunci API, atau PII yang terlihat dalam respons, bundel JS, atau log

Dampak finansial

Cacat logika bisnis yang memungkinkan trading tidak sah, manipulasi pesanan, atau penyalahgunaan saldo

Kriptografi

Kerentanan enkripsi

Jenis kerentanan lain mungkin memenuhi syarat jika Anda dapat menunjukkan dampak nyata dan jelas terhadap data pengguna, dana, atau integritas sistem.

Aset dalam ruang lingkup

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oAplikasi iOS di Apple Store: cryptohopper-crypto-trading/id1463052050
• oAplikasi Android di Google Play Store: com.cryptohopper_mobile

Hal yang tidak kami berikan hadiah

Hal-hal berikut berada di luar cakupan. Laporan dalam kategori ini tidak akan menerima bounty dan mungkin tidak akan menerima tanggapan yang terperinci.

Kualitas laporan

• oTidak ada bukti konsep yang berfungsi — kami perlu dapat mereproduksi temuan tersebut
• oHanya keluaran dari pemindai otomatis (Burp, Nessus, Nuclei, dll.) tanpa bukti konsep manual
• oLaporan yang dihasilkan oleh AI atau menggunakan templat yang tidak mencerminkan riset asli yang telah diverifikasi
• oLaporan duplikat — kami hanya memberikan hadiah untuk laporan pertama yang kami terima
• oSelf-XSS — hanya memengaruhi pelapor tanpa berdampak pada pengguna lain
• oPustaka rentan yang sebelumnya sudah diketahui tanpa eksploit yang berfungsi

Ruang lingkup dan lingkungan

• oPengujian terhadap aset yang tidak tercantum dalam ruang lingkup (lingkungan staging, situs mitra, integrasi pihak ketiga)
• oMasalah yang memerlukan kompromi sebelumnya terhadap perangkat atau akun pengguna, kecuali jika sistem kami adalah pemicunya secara langsung
• oMasalah pada perangkat yang telah di-jailbreak atau di-root, atau konfigurasi klien yang tidak standar (proxy kustom, aplikasi yang dimodifikasi), kecuali jika dampaknya bersifat kritis dan realistis
• oKerentanan pada produk usang atau akhir masa pakai yang tidak lagi kami dukung
• oVektor yang memerlukan lingkungan yang belum ditambal (misalnya pembaruan OS yang hilang) atau versi browser yang lebih lama dari 6 bulan
• oSerangan yang memerlukan MiTM atau akses fisik ke perangkat

Dampak rendah dan hanya praktik terbaik

• oKunci publik dari integrasi pihak ketiga (misalnya kunci publik API bursa) — ini bukan rahasia dan bukan merupakan kerentanan
• oPengalihan terbuka tanpa rantai serangan yang realistis (tidak ada pencurian token, tidak ada jalur phishing yang berarti)
• oClickjacking tanpa skenario serangan yang berarti
• oCSRF, termasuk CSRF tanpa autentikasi/login/logout
• oEnumerasi pengguna
• oPengungkapan banner, versi, atau jejak tumpukan tanpa serangan lanjutan yang terbukti
• oPengungkapan alamat IP atau asal
• oBatasan laju yang tidak diterapkan tanpa skenario penyalahgunaan yang jelas
• oKurangnya praktik terbaik dalam SSL/TLS, DNS (DKIM/DMARC/SPF), atau header HTTP kecuali jika Anda dapat menunjukkan dampak nyata
• oTidak adanya Subresource Integrity (SRI) tanpa bukti bahwa skrip tersebut benar-benar dapat dimanipulasi
• oPemalsuan konten atau injeksi teks
• oInjeksi CSV tanpa eksploit yang berfungsi
• oKemampuan untuk membuat akun atau mengirim email tanpa batas (tanpa penyalahgunaan yang terbukti)
• oPengungkapan informasi yang tidak sensitif (versi produk, jalur file)
• oKebocoran token ke pihak ketiga tepercaya melalui HTTPS
• oNotifikasi yang tidak muncul untuk tindakan pengguna
• oDoS/DDoS

Perilaku

• oMohon jangan mengaitkan laporan Anda dengan tuntutan pembayaran atau ancaman pengungkapan. Kami memperlakukan setiap laporan secara adil dan memberikan hadiah semata-mata berdasarkan keunggulan teknis dan dampaknya. Laporan yang disertai tuntutan atau ancaman tidak akan memenuhi syarat untuk mendapatkan hadiah.
• oPelanggaran terhadap aturan program (akses data tanpa izin, pengungkapan publik sebelum perbaikan, dan sebagainya).

Cara mengirimkan

Email [email protected]. Kami akan mengonfirmasi penerimaan laporan Anda dalam waktu 5 hari kerja.

Apa yang terjadi selanjutnya

1. Tanda terima — kami mengonfirmasi penerimaan dalam waktu 5 hari kerja
2. Triage — tim keamanan kami meninjau dan mereproduksi temuan tersebut
3. Perbaikan — kami mengerjakan solusi dan terus memberi Anda pembaruan
4. Hadiah — jika memenuhi syarat, kami akan mendiskusikan dan membayar bounty
5. Pengungkapan — kami meminta waktu 30 hari sebelum pengungkapan publik apa pun

Laporan yang baik memudahkan tim engineer kami untuk mereproduksi masalah dan memahami dampaknya. Harap sertakan:

1. Pernyataan dampak — apa yang sebenarnya bisa dilakukan penyerang? (misalnya, 'Seorang penyerang dapat mengambil alih akun apa pun dengan…')
2. Reproduksi langkah demi langkah — langkah, permintaan, atau skrip minimal yang tepat
3. Bukti konsep — skrip yang berfungsi atau rangkaian permintaan yang berjalan
4. URL dan parameter yang terpengaruh — URL lengkap, filter, atau field yang terlibat
5. Tangkapan layar atau video (sangat dihargai)
6. Alamat IP Anda — tetap bersifat pribadi, digunakan untuk dikorelasikan dengan log kami

Laporan yang samar, tidak memiliki dampak yang jelas, atau tidak dapat direproduksi tidak memenuhi syarat untuk mendapatkan hadiah dan mungkin tidak menerima balasan yang terperinci.

Aturan

Uji secara bertanggung jawab. Gunakan hanya metode yang diperlukan untuk menemukan atau menunjukkan kerentanan.

• oHormati privasi pengguna lain — jangan mengakses data melebihi apa yang benar-benar diperlukan untuk membuktikan masalah tersebut
• oJangan mengeksploitasi kerentanan untuk tujuan apa pun selain penyelidikan Anda sendiri
• oJangan mengungkapkan kerentanan secara publik atau kepada pihak ketiga dalam waktu 30 hari sejak laporan Anda; berikan kami waktu untuk memperbaiki sebelum dipublikasikan
• oJangan gunakan rekayasa sosial untuk mendapatkan akses
• oJangan memasang backdoor, memodifikasi data, atau mengubah sistem dengan cara apa pun
• oJangan gunakan teknik brute force
• oJangan melakukan pengujian denial-of-service
• oJaga akses hanya untuk diri Anda sendiri — jangan berbagi akses sistem dengan orang lain

Hadiah

Kami menghargai semua laporan yang dapat ditindaklanjuti — setiap pengajuan yang valid membantu kami melindungi pengguna kami. Namun, hadiah hanya diberikan untuk temuan yang memiliki dampak nyata di dunia nyata. Pembayaran didasarkan pada tingkat keparahan, dampak, dan kualitas laporan; tidak ada batas minimum atau maksimum yang tetap.

Kami tidak memberikan hadiah untuk masalah berdampak rendah, temuan teoretis tanpa eksploit yang berfungsi, atau laporan otomatis maupun yang dihasilkan oleh AI.

Untuk memenuhi syarat, Anda harus tinggal di negara yang tidak dikenai sanksi yang berlaku (misalnya Kuba, Iran, Korea Utara, Sudan, Suriah). Ini adalah program diskresioner — Cryptohopper berhak untuk membatalkannya atau menolak membayar hadiah kapan saja.

Beberapa hal yang perlu diingat:

• oJika terjadi duplikasi, hanya laporan pertama yang diterima yang akan diberi hadiah
• oBeberapa kerentanan yang berasal dari satu penyebab utama dianggap sebagai satu temuan
• oHadiah dapat berupa uang atau berupa langganan Cryptohopper, sesuai kebijakan kami
• oHadiah uang dibayarkan melalui PayPal (seluruh dunia) atau transfer bank (hanya UE)