セキュリティ報奨金プログラム

どんな技術も完璧ではありません。クリプトホッパーでは、トレーダーの皆様がデータや取引執行を心配することなくポートフォリオを管理できるよう常に心がけています。当社のユーザーのセキュリティに影響を与える可能性のあるものを見つけた場合は、ご一報くださいますと幸いです。

スコープ内

弊社のシステムの脆弱性を全て提出することができます。しかし、すべての脆弱性が同じではありません。以下のカテゴリーに該当する脆弱性を見つけた場合は、できるだけ早急にご連絡ください。


このプログラムでは、以下のドメインおよびアプリが特典の対象となります。

  • SQLインジェクションの弱点
  • 暗号化の脆弱性
  • リモートコード実行
  • 認証バイパス、不正データアクセス
  • XML外部本体
  • S3のバケットアップロード
  • サーバサイド・リクエスト・フォージェリ

本プログラムでは、以下のドメインおよびアプリが特典の対象となります:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • アップルストアのiOSアプリケーション:クリプトホッパー、クリプトトレーディング/id1463052050
  • Google PlayストアのAndroidアプリケーション:com.cryptohopper_mobile

対象外

以下のカテゴリーでの応募は受け付けておりません:

  • 無制限にユーザーアカウントを作れる。
  • 特定されたセキュリティーリスクを伴わずに、ユーザー インターフェースを介して利用できないアクションを実行する能力
  • 内容を制限することなくメールを送信する能力
  • 当社サービスの妨害(DoS)につながる可能性のある行為
  • ユーザーのデバイスへのMiTMまたは物理的アクセスを必要とする攻撃
  • クリックジャッキング
  • コンテンツ成り済ましとテキストインジェクション
  • 脆弱性を証明せずにCSVインジェクション
  • 製品のバージョン、サーバー上のファイルパス、スタックトレースなど、機密情報以外の情報の開示
  • 発信元およびプライベートIPアドレス、またはプライベートIPアドレスを指すドメインの開示
  • セキュアな接続(HTTPS)上で、信頼できる第三者に機密トークン(パスワードリセットトークンなど)が漏れる。
  • SSL/TLS設定におけるベストプラクティスの欠落
  • DNS設定におけるベストプラクティスの欠落(DKIM/DMARC/SPF/TXT)
  • 脆弱性を示すことなくHTTPヘッダーのベストプラクティスを欠落させる
  • 重要なアクションに関する通知トラブル
  • ユーザーやシステムに対する実際のセキュリティ上の影響を示すことなく、保護メカニズムや優れた方法を欠落させています。
  • 動作実証のない既に知られているの脆弱なライブラリ
  • クラッシュダンプや自動ツールの出力のみを含む、概念実証のないレポート。
  • 認証なし/ログイン/ログアウト CSRF
  • ユーザーを挙げる
  • パッチが適用されていない環境を必要とするベクター(例:Windowsアップデートの欠落)
  • レポート提出の6ヶ月以上前にリリースされたブラウザのバージョンを必要とするベクター
  • エンドポイントでのレート制限の欠落
  • クロスサイト リクエスト フォージェリ(CSRF)

脆弱性の提出方法

脆弱性はEメール[email protected]から送信できます。

どのような脆弱性を発見したのか、Eメールに簡潔に記載してください。特に、以下の内容をメールに記載してください:

  • どの脆弱性
  • あなたが行ったステップ
  • URL全体
  • 関係するオブジェクト(フィルターまたは入力フィールドとして)
  • スクリーンショットやスクリーンビデオを大歓迎
  • バグレポートにIPアドレスをご記入ください。IPアドレスは非公開とされ、テスト活動の追跡と弊社側からのログ確認に使用されます。
  • 発見された問題を可能な限り明確かつ詳細に記述し、持っている可能性のある証拠を提出します。この通知は専門家によって受け取られることを想定してください。

ルール

責任を持ち、細心の注意と慎重さをもって行動すること。問題を調査する際には、脆弱性を発見または実証するために必要な方法または技術のみを使用すること。

  • 倫理的なハッカーであり、他のユーザーのプライバシーを尊重する。
  • 発見した脆弱性を自分自身の調査以外の目的で使用しないこと。
  • クリプトホッパー以外の第三者に脆弱性を開示せず、一般や第三者に開示する前に問題を解決するための合理的な時間を提供してください。
  • ソーシャル・エンジニアリングを使用してシステムにアクセスしないこと
  • システムの弱点を検証する目的であっても、不正なアクセス方法を作成しないでください。そのような方法はシステムの安全性を低下させます。
  • システム内の情報を変更したり削除したりしないこと。調査のために情報をコピーする必要がある場合は、決して必要以上にコピーしないでください。1つの記録で十分な場合は、それ以上コピーしないでください。
  • システムには一切手を加えないでください。
  • システムに入るのは、どうしても必要なときだけにしてください。システムに入れたとしても、他人とアクセス権を分け合わないこと。
  • システムへアクセスするために、パスワードを繰り返し入力するなどの総当たり技法を使用しない。
  • 自社のシステムをできるだけ厳重に保護する

報酬

報酬は、重大性、影響度、レポートの質に基づいて決定されます。報酬を受け取るには、制裁リスト(キューバ、イラン、北朝鮮、スーダン、シリアなど)に掲載されていない国に居住している必要があります。報酬を支払うかどうかの決定は当社の裁量に委ねられます。

さらに考慮すべきことがある:

  • 重複が発生した場合は、最初に受け取ったレポートのみ承認します。
  • 1つの根本的な問題に起因する複数の脆弱性は、1つの報奨金になります。
  • 当社のエンジニアは、レポートからセキュリティ欠陥を再現できなければなりません。あまりにも漠然としていたり、不明確な報告は、報奨の対象にはなりません。明確に書かれた説明と実行コードを含むレポートは、報奨金を獲得できる可能性が高くなります。
よくあるご質問
よくある質問
クリプトホッパーは、当社のシステムとプロセスの安全確保にご協力いただいた皆様の努力に深く感謝いたします。影響力に応じて報酬を決定します。報酬は必ずしも金銭的なものとは限らず、クリプトホッパーのサブスクリプションという形でも可能です。
当社に相談することなく、当社のITシステムやお客様の調査の脆弱性を公表することは絶対に避けてください。私たちは、犯罪者がお客様の情報を悪用するのを防ぐために協力することができます。当社のセキュリティ専門家に相談し、問題を解決する時間をください。
はい、できます。脆弱性をご報告いただく際に、お名前やご連絡先をお知らせいただく必要はありません。ただし、ご報告内容についての今後の対応、協力、謝礼の送付など、フォローアップに関するご相談はお受けできませんので、あらかじめご了承ください。
セキュリティバウンティプログラムのドキュメントに記載されているPGPキーを使用して、[email protected]までセキュリティ問題を送信してください

免責事項:クリプトホッパーは規制されていないサービスです。仮想通貨ボット取引は高いリスクを伴いますので、過去の成果は今後の結果を保証するものではありません。製品のスクリーンショットに示された利益は例示的なものであり、実際とは異なる場合があります。ボット取引を行う場合は、十分な知識があることを確認するか、資格のあるファイナンシャル・アドバイザーに相談してください。クリプトホッパーは、(a)当社ソフトウェアを利用した取引によって生じた、または関連した損失や損害の全てや一部、または(b)直接的、間接的、特別、派生的、偶発的な損害について、どのような個人や団体に対しても一切責任を負いません。クリプトホッパー・ソーシャル・トレーディング・プラットフォームで提供されるコンテンツは、クリプトホッパー・コミュニティーのメンバーが作成したものであり、クリプトホッパーからの、またはクリプトホッパーを代表する助言や推薦ではありません。マーケットプレイスに掲載された利益は、今後の結果を示すものではありません。クリプトホッパーのサービスを利用することで、利用者は仮想通貨取引に伴うリスクを理解・承認し、発生した責任や損失からクリプトホッパーを免責することに同意したものとみなされます。クリプトホッパーのソフトウェアを使用したり、取引活動に参加する前に、当社の利用規約とリスク開示方針を確認し、理解してください。お客様の個別の状況に応じたアドバイスについては、法律や金融の専門家にご相談ください。

©2017 - 2023 Copyright by Cryptohopper™ - 無断複写・転載を禁じます。