Security Bounty Program

Geen enkele technologie is perfect. Bij Cryptohopper nemen we de veiligheid van de tegoeden en gegevens van onze gebruikers zeer serieus, en we waarderen elke onderzoeker die die toewijding deelt. We verwelkomen alle bruikbare meldingen en keren alleen beloningen uit voor bevindingen met een echte, aantoonbare impact.

Onze toewijding aan onderzoekers

We willen dat beveiligingsonderzoek veilig en de moeite waard is. Als je de regels in dit programma volgt, verbinden wij ons ertoe:

• oJe rapport binnen 5 werkdagen bevestigen
• oWe houden je op de hoogte terwijl we je melding beoordelen en aan een oplossing werken
• oGeen civiele of strafrechtelijke stappen tegen je ondernemen voor beveiligingsonderzoek dat binnen de reikwijdte van dit programma is uitgevoerd
• oVraag om 30 dagen de tijd voordat je een bevinding openbaar maakt, zodat wij deze kunnen oplossen en onze gebruikers kunnen beschermen

We vragen je ons een eerlijke kans te geven om te reageren voordat je iets openbaar maakt. Als we de termijn van 30 dagen zonder geldige reden missen, zullen we samen met jou werken aan een gecoördineerde openbaarmakingstijdlijn.

Waar we graag over horen

Om in aanmerking te komen voor een beloning, moet een inzending een werkend proof of concept bevatten en een duidelijke beschrijving van wat een aanvaller daadwerkelijk zou kunnen doen. We geven prioriteit aan bevindingen op de volgende gebieden:

Systeemcompromittering

• oRemote Code Execution
• oSQL-injectie
• oAndere injectietypen (NoSQL, command, template-injectie) met een werkende exploit
• oXML External Entity (XXE)
• oServer-Side Request Forgery (SSRF)
• oToegang/upload naar S3 Bucket

Account- en gegevensbeveiliging

• oAuthenticatie-omzeiling of ongeautoriseerde gegevenstoegang
• oOnveilige directe objectverwijzingen (IDOR) — toegang krijgen tot de gegevens van een andere gebruiker door ID's te manipuleren
• oSessies of tokens met kwetsbaarheden (session fixation, voorspelbare tokens, verkeerd gebruik van JWT) die kunnen leiden tot overname van een account
• oCross-Site Scripting (XSS) dat sessies of inloggegevens kan stelen
• oBlootstelling van gevoelige gegevens — privésleutels, API geheimen of PII die zichtbaar zijn in responses, JS-bundels of logs

Financiële impact

Fouten in de bedrijfslogica die ongeautoriseerde handel, ordermanipulatie of misbruik van de balans mogelijk maken

Cryptografie

Versleutelingskwetsbaarheden

Andere soorten kwetsbaarheden kunnen in aanmerking komen als je een duidelijk, reëel effect op gebruikersgegevens, tegoeden of de systeemintegriteit kunt aantonen.

In-scope assets

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oiOS-applicatie in de Apple Store: cryptohopper-crypto-trading/id1463052050
• oAndroid-applicatie in de Google Play Store: com.cryptohopper_mobile

Wat we niet belonen

Het volgende valt buiten de scope. Meldingen in deze categorieën komen niet in aanmerking voor een beloning en ontvangen mogelijk geen uitgebreide reactie.

Kwaliteit van het rapport

• oGeen werkend proof of concept — we moeten de bevinding kunnen reproduceren
• oAlleen output van geautomatiseerde scanners (Burp, Nessus, Nuclei, etc.) zonder een handmatig proof of concept
• oDoor AI gegenereerde of op sjablonen gebaseerde rapporten die geen originele, geverifieerde onderzoeksresultaten weergeven
• oDubbele rapporten — we belonen het eerste rapport dat we ontvangen
• oSelf-XSS — treft alleen de melder zelf en heeft geen impact op andere gebruikers
• oEerder bekende kwetsbare libraries zonder een werkende exploit

Reikwijdte en omgeving

• oTesten van bezittingen die niet als binnen scope zijn vermeld (stagingomgevingen, partnersites, integraties van derden)
• oProblemen die een voorafgaande compromittering van het apparaat of account van de gebruiker vereisen, tenzij ons systeem hier direct de oorzaak van is
• oProblemen op gejailbreakte of gerootte apparaten, of niet-standaard clientconfiguraties (aangepaste proxies, gewijzigde apps), tenzij de impact kritiek en realistisch is
• oKwetsbaarheden in verouderde of end-of-life producten die we niet langer ondersteunen
• oVectoren die niet-gepatchte omgevingen vereisen (bijv. ontbrekende OS-updates) of browserversies ouder dan 6 maanden
• oAanvallen die MiTM of fysieke toegang tot het apparaat vereisen

Lage impact en alleen best practices

• oPublieke sleutels van integraties van derden (bijv. beurs API publieke sleutels) — deze zijn niet geheim en vormen geen kwetsbaarheid
• oOpen redirects zonder een realistische aanvalsketen (geen token­diefstal, geen betekenisvol phishingpad)
• oClickjacking zonder een betekenisvol aanvalsscenario
• oCSRF, inclusief niet-geauthenticeerde/login/logout CSRF
• oGebruikersenumeratie
• oOpenbaarmaking van banner, versie of stack trace zonder een aangetoonde vervolgaanval
• oIP-adres of herkomst openbaarmaking
• oOntbrekende rate limiting zonder een duidelijk misbruikscenario
• oOntbrekende best practices in SSL/TLS, DNS (DKIM/DMARC/SPF) of HTTP-headers, tenzij je een daadwerkelijk effect kunt aantonen
• oOntbrekende Subresource Integrity (SRI) zonder bewijs dat het script daadwerkelijk kan worden gemanipuleerd
• oContent spoofing of tekstinjectie
• oCSV-injectie zonder werkende exploit
• oMogelijkheid om onbeperkt accounts aan te maken of e-mails te versturen (zonder aangetoonde misbruik)
• oOpenbaarmaking van niet-gevoelige informatie (productversies, bestandspaden)
• oTokenlek naar vertrouwde derde partijen via HTTPS
• oOntbrekende meldingen voor gebruikersacties
• oDoS/DDoS

Gedrag

• oKoppel je rapport alstublieft niet aan betalingsverzoeken of dreigementen over openbaarmaking. We behandelen elk rapport eerlijk en baseren beloningen uitsluitend op technische kwaliteit en impact. Rapporten die gepaard gaan met eisen of dreigementen komen niet in aanmerking voor een beloning.
• oOvertredingen van de programmaregels (ongeautoriseerde gegevens­toegang, openbare bekendmaking vóór de oplossing, enz.)

Hoe je een melding indient

E-mail [email protected]. We bevestigen de ontvangst van je melding binnen 5 werkdagen.

Wat gebeurt er nu

1. Bevestiging — we bevestigen de ontvangst binnen 5 werkdagen
2. Triage — ons beveiligingsteam beoordeelt en reproduceert de bevinding
3. Oplossing — we werken aan een oplossing en houden je op de hoogte
4. Beloning — als je in aanmerking komt, bespreken we deze en betalen we de bounty uit
5. Openbaarmaking — we vragen om 30 dagen voordat er enige publieke openbaarmaking plaatsvindt

Een goed rapport maakt het onze engineers gemakkelijk om het probleem te reproduceren en de impact te begrijpen. Neem het volgende op:

1. Impactverklaring — wat kan een aanvaller daadwerkelijk doen? (bijv. 'Een aanvaller kan elk account overnemen door…')
2. Stapsgewijze reproductie — exacte stappen, verzoeken of een minimaal script
3. Proof of concept — een werkend script of een reeks verzoeken
4. Betrokken URL en parameters — volledige URL, filters of velden die erbij betrokken zijn
5. Screenshots of video (zeer gewaardeerd)
6. Je IP-adres — blijft privé, wordt alleen gebruikt om te correleren met onze logs

Rapporten die vaag zijn, geen duidelijk impact hebben of niet kunnen worden gereproduceerd, komen niet in aanmerking voor een beloning en ontvangen mogelijk geen uitgebreide reactie.

Regels

Test op verantwoorde wijze. Gebruik alleen methoden die nodig zijn om een kwetsbaarheid te vinden of aan te tonen.

• oRespecteer de privacy van andere gebruikers — ga niet verder in op gegevens dan strikt noodzakelijk is om het probleem aan te tonen
• oMaak geen misbruik van kwetsbaarheden voor enig ander doel dan je eigen onderzoek
• oMaak kwetsbaarheden niet openbaar en deel ze niet met derden binnen 30 dagen na je melding; geef ons de tijd om het probleem op te lossen voordat je ermee naar buiten treedt
• oGebruik geen social engineering om toegang te krijgen
• oInstalleer geen backdoors, wijzig geen gegevens en verander het systeem op geen enkele manier.
• oGebruik geen brute force-technieken
• oVoer geen denial-of-service tests uit
• oHoud de toegang voor jezelf — deel geen systeemtoegang met anderen

Beloningen

We waarderen alle bruikbare meldingen — elke oprechte inzending helpt ons onze gebruikers te beschermen. Beloningen zijn echter voorbehouden aan bevindingen met een aantoonbare, reële impact. De uitbetaling is gebaseerd op ernst, impact en de kwaliteit van het rapport; er is geen vast minimum of maximum.

We betalen geen beloningen voor problemen met een lage impact, theoretische bevindingen zonder werkende exploit, of geautomatiseerde of door AI gegenereerde rapporten.

Om in aanmerking te komen, moet je woonachtig zijn in een land dat niet onder de toepasselijke sancties valt (bijv. Cuba, Iran, Noord-Korea, Soedan, Syrië). Dit is een discretionair programma — Cryptohopper behoudt zich het recht voor om het op elk moment te annuleren of te weigeren een beloning uit te keren.

Een paar dingen om in gedachten te houden:

• oWanneer er duplicaten voorkomen, wordt alleen het eerste ontvangen rapport beloond
• oMeerdere kwetsbaarheden met één enkele onderliggende oorzaak worden als één bevinding behandeld
• oBeloningen kunnen geldelijk zijn of in de vorm van een Cryptohopper-abonnement, naar eigen goeddunken.
• oMonetaire beloningen worden uitbetaald via PayPal (wereldwijd) of bankoverschrijving (alleen EU).