보안 바운티 프로그램

어떠한 기술도 완벽하지 않습니다. Cryptohopper에서는 사용자들의 자금과 데이터 보안을 매우 중요하게 여기며, 이에 동참해 주는 모든 연구자분들께 감사드립니다. 우리는 실제로 조치 가능한 모든 제보를 환영하며, 실제로 입증 가능한 영향력이 있는 취약점에 대해서만 보상을 지급합니다.

연구자에 대한 우리의 약속

우리는 보안 연구가 안전하고 가치 있는 활동이 되기를 바랍니다. 이 프로그램의 규칙을 준수하신다면, 우리는 다음을 약속합니다.

• o영업일 기준 5일 이내에 귀하의 보고를 접수했음을 알려드립니다
• o우리가 문제의 우선순위를 정하고 해결책을 마련하는 동안 진행 상황을 계속 알려드리겠습니다
• o이 프로그램의 범위 내에서 수행된 보안 연구에 대해서는 귀하를 상대로 민사상 또는 형사상 조치를 취하지 않습니다
• o발견한 내용을 공개적으로 공개하기 전에 30일의 유예 기간을 요청하여, 우리가 문제를 수정하고 사용자들을 보호할 수 있는 시간을 확보할 수 있도록 해 주십시오

공개하기 전에 우리가 대응할 수 있는 충분한 기회를 주시기를 부탁드립니다. 정당한 사유 없이 30일 기한을 넘길 경우, 우리는 귀하와 함께 조율된 공개 일정에 대해 협의하겠습니다.

우리가 듣고자 하는 내용

보상을 받으려면, 제출물에는 작동하는 개념 증명과 공격자가 실제로 무엇을 할 수 있는지에 대한 명확한 설명이 포함되어야 합니다. 우리는 다음과 같은 분야에서의 발견을 우선시합니다:

시스템 침해

• o원격 코드 실행
• oSQL 인젝션
• o작동하는 익스플로잇이 있는 기타 인젝션 유형(NoSQL, 명령, 템플릿 인젝션)
• oXML 외부 개체(XXE)
• o서버 측 요청 위조 (SSRF)
• oS3 버킷 접근/업로드

계정 및 데이터 보안

• o인증 우회 또는 무단 데이터 접근
• oInsecure Direct Object References (IDOR) — ID를 조작하여 다른 사용자의 데이터에 접근하는 취약점
• o세션 고정, 예측 가능한 토큰, JWT 오용과 같은 세션 또는 토큰 취약점으로 인한 계정 탈취
• o세션이나 자격 증명을 탈취할 수 있는 크로스 사이트 스크립팅(XSS)
• o민감한 데이터 노출 — 응답, JS 번들 또는 로그에 노출된 개인 키, API 비밀키 또는 PII

재정적 영향

무단 거래, 주문 조작 또는 잔액 악용을 허용하는 비즈니스 로직 결함

암호학

암호화 취약점

다른 유형의 취약점도 사용자 데이터, 자금 또는 시스템 무결성에 명확하고 실제적인 영향을 미친다는 것을 입증할 수 있다면 인정될 수 있습니다.

범위 내 자산

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oApple Store의 iOS 애플리케이션: cryptohopper-crypto-trading/id1463052050
• oGoogle Play 스토어의 Android 애플리케이션: com.cryptohopper_mobile

보상하지 않는 사항

다음 항목들은 범위에서 제외됩니다. 이러한 범주에 속하는 제보는 포상금을 받지 못하며, 상세한 답변을 받지 못할 수도 있습니다.

보고서 품질

• o작동하는 개념 증명이 없음 — 우리는 해당 발견을 재현할 수 있어야 합니다
• o수동 개념 증명 없이 자동화된 스캐너(Burp, Nessus, Nuclei 등)의 출력만 있는 경우
• o원본이고 검증된 연구를 반영하지 않는 AI 생성 또는 템플릿형 보고서
• o중복된 보고서 — 저희는 가장 먼저 접수된 보고서에만 보상을 제공합니다
• oSelf-XSS — 신고자에게만 영향을 미치며 다른 사용자에게는 영향을 주지 않습니다
• o작동하는 익스플로잇이 없는, 이전부터 알려진 취약한 라이브러리

범위 및 환경

• o범위에 포함되지 않은 자산에 대한 테스트(스테이징 환경, 파트너 사이트, 서드파티 통합 포함)
• o당사 시스템이 직접적인 원인이 아닌 한, 사용자의 기기나 계정이 먼저 탈취되어야만 발생하는 문제
• o탈옥되거나 루팅된 기기, 또는 비표준 클라이언트 구성(커스텀 프록시, 수정된 앱 등)에서 발생하는 문제는, 그 영향이 치명적이고 현실적인 경우가 아니라면 제외됩니다
• o더 이상 지원하지 않는 사용 중단 또는 수명 종료 제품의 취약점
• o패치되지 않은 환경(예: OS 업데이트 누락)이나 6개월 이상 지난 브라우저 버전을 필요로 하는 벡터
• oMiTM 또는 물리적 기기 접근이 필요한 공격

영향이 적고 모범 사례에만 해당하는 경우

• o타사 통합에서 사용되는 공개 키(예: 거래소 API 공개 키) — 이는 비밀 정보가 아니며 취약점에 해당하지 않습니다
• o현실적인 공격 체인이 없는 오픈 리디렉션(토큰 탈취나 의미 있는 피싱 경로가 없음)
• o의미 있는 공격 시나리오가 없는 클릭재킹
• o인증되지 않은 상태, 로그인 및 로그아웃 시 발생하는 CSRF를 포함한 CSRF
• o사용자 열거
• o입증된 후속 공격 없이 배너, 버전 또는 스택 트레이스가 노출되는 경우
• oIP 주소 또는 출처 노출
• o명확한 악용 시나리오 없이 누락된 속도 제한
• o실질적인 영향을 입증할 수 있는 경우를 제외하고, SSL/TLS, DNS(DKIM/DMARC/SPF) 또는 HTTP 헤더에서 모범 사례가 지켜지지 않은 경우
• o스크립트가 실제로 변조될 수 있다는 증거 없이 Subresource Integrity(SRI)가 누락된 경우
• o콘텐츠 스푸핑 또는 텍스트 인젝션
• o작동하는 익스플로잇이 없는 CSV 인젝션
• o제한 없이 계정을 생성하거나 이메일을 보낼 수 있는 기능(악용 사례는 입증되지 않음)
• o비민감 정보 공개(제품 버전, 파일 경로)
• oHTTPS를 통한 신뢰할 수 있는 제3자에게 토큰이 유출되는 경우
• o사용자 작업에 대한 알림 누락
• oDoS/DDoS

행위

• o보고서를 제출하실 때, 지급 요구나 공개 협박과 연계하지 말아 주십시오. 저희는 모든 보고서를 공정하게 평가하며, 보상은 오직 기술적 완성도와 영향력에만 근거해 지급합니다. 요구나 협박이 수반된 보고서는 보상 대상에서 제외됩니다.
• o프로그램 규칙 위반(무단 데이터 접근, 수정 이전의 공개 등)

제출 방법

이메일을 보내주세요: [email protected]. 영업일 기준 5일 이내에 신고 접수 여부를 알려드리겠습니다.

다음 단계

1. 접수 확인 — 영업일 기준 5일 이내에 접수되었음을 확인해 드립니다
2. 분류 — 보안팀이 발견된 내용을 검토하고 재현합니다
3. 수정 — 우리는 해결책을 마련하고 진행 상황을 계속 알려드립니다
4. 보상 — 자격이 있는 경우, 논의 후 현상금을 지급합니다
5. 공개 — 어떠한 공개를 하기 전에 30일의 유예 기간을 요청드립니다

좋은 보고서는 엔지니어들이 문제를 재현하고 영향 범위를 이해하기 쉽게 만들어 줍니다. 다음 내용을 포함해 주세요:

1. 영향 설명 — 공격자가 실제로 무엇을 할 수 있는지 설명해 주세요. (예: '공격자가 …를 통해 어떤 계정이든 탈취할 수 있습니다')
2. 단계별 재현 — 정확한 단계, 요청 또는 최소한의 스크립트
3. 개념 증명 — 작동하는 스크립트 또는 요청 시퀀스
4. 영향을 받는 URL 및 매개변수 — 전체 URL, 필터 또는 관련 필드
5. 스크린샷 또는 동영상(제공해 주시면 매우 감사하겠습니다)
6. 귀하의 IP 주소 — 비공개로 유지되며, 당사의 로그와 연관하는 데 사용됩니다

모호하거나, 명확한 영향이 없거나, 재현할 수 없는 보고서는 보상 대상에 해당하지 않으며 상세한 답변을 받지 못할 수 있습니다.

규칙

책임감 있게 테스트하세요. 취약점을 찾거나 입증하는 데 필요한 방법만 사용하세요.

• o다른 사용자의 프라이버시를 존중하고, 문제를 입증하는 데 엄격히 필요한 범위를 넘어서는 데이터에는 접근하지 마세요.
• o취약점을 자신의 조사 목적을 넘어서는 어떤 용도로도 악용하지 마세요
• o취약점을 보고한 후 30일 이내에는 공개적으로나 제3자에게 공개하지 말고, 우리가 공개하기 전에 문제를 수정할 수 있도록 시간을 주세요
• o접근 권한을 얻기 위해 사회 공학 기법을 사용하지 마십시오
• o백도어를 설치하거나 데이터를 수정하거나 시스템을 어떤 방식으로든 변경하지 마십시오
• o무차별 대입 기법을 사용하지 마세요
• o서비스 거부 테스트를 수행하지 마십시오
• o접근 권한은 본인만 사용하고, 다른 사람과 시스템 접근 권한을 공유하지 마세요

보상

실질적인 조치가 가능한 모든 제보에 감사드립니다. 모든 진정성 있는 제보는 사용자 보호에 큰 도움이 됩니다. 다만 보상은 실제로 입증 가능한, 현실 세계에 영향을 미치는 취약점에 한해 지급됩니다. 보상 금액은 심각도, 영향 범위, 그리고 제보의 품질을 기준으로 산정되며, 고정된 최소 또는 최대 금액은 없습니다.

우리는 영향이 낮은 문제, 실제 악용 사례가 없는 이론적인 취약점, 또는 자동화되었거나 AI가 생성한 보고서에 대해서는 보상을 지급하지 않습니다.

참여 자격을 얻으려면, 관련 제재가 적용되지 않는 국가(예: 쿠바, 이란, 북한, 수단, 시리아)에 거주해야 합니다. 이는 재량에 따른 프로그램으로, Cryptohopper는 언제든지 프로그램을 취소하거나 보상 지급을 거부할 권리를 보유합니다.

기억해 두어야 할 몇 가지 사항은 다음과 같습니다:

• o중복이 발생할 경우, 가장 먼저 접수된 신고에만 보상이 지급됩니다
• o단일 근본 원인에서 비롯된 여러 취약점은 하나의 발견 사항으로 간주됩니다
• o보상은 당사의 재량에 따라 금전적 보상 또는 Cryptohopper 구독 형태로 제공될 수 있습니다
• o금전적 보상은 PayPal(전 세계) 또는 은행 송금(EU 한정)을 통해 지급됩니다