Program Nagród za Zgłaszanie Błędów Bezpieczeństwa

Żadna technologia nie jest doskonała. W Cryptohopper bardzo poważnie podchodzimy do bezpieczeństwa środków i danych naszych użytkowników — i doceniamy każdego badacza, który podziela to zaangażowanie. Przyjmujemy wszystkie możliwe do wykorzystania zgłoszenia i wypłacamy nagrody wyłącznie za odkrycia o realnym, dającym się wykazać wpływie.

Nasze zobowiązanie wobec badaczy

Chcemy, aby badania nad bezpieczeństwem były bezpieczne i wartościowe. Jeśli będziesz przestrzegać zasad tego programu, zobowiązujemy się do:

• oPotwierdzimy otrzymanie Twojego zgłoszenia w ciągu 5 dni roboczych
• oBędziemy Cię informować na bieżąco, gdy będziemy nadawać priorytety zgłoszeniu i pracować nad rozwiązaniem problemu
• oNie będziemy podejmować wobec Ciebie cywilnych ani karnych kroków prawnych za badania nad bezpieczeństwem prowadzone w ramach tego programu.
• oPoproś o 30 dni przed publicznym ujawnieniem znaleziska, aby dać nam czas na naprawę i ochronę naszych użytkowników

Prosimy, abyś dał nam uczciwą szansę na reakcję, zanim upublicznisz swoje ustalenia. Jeśli przekroczymy 30‑dniowy termin bez uzasadnionej przyczyny, będziemy z tobą współpracować nad skoordynowanym harmonogramem ujawnienia.

O czym chcemy usłyszeć

Aby zakwalifikować się do nagrody, zgłoszenie musi zawierać działający proof of concept oraz jasny opis tego, co atakujący mógłby faktycznie zrobić. Priorytetowo traktujemy znaleziska w następujących obszarach:

Kompromitacja systemu

• oZdalne wykonanie kodu
• oWstrzykiwanie SQL
• oInne typy ataków typu injection (NoSQL, polecenia systemowe, injection szablonów) z działającym exploitem
• oZewnętrzny byt XML (XXE)
• oFałszowanie żądań po stronie serwera (SSRF)
• oDostęp/przesyłanie do zasobnika S3

Bezpieczeństwo konta i danych

• oOminięcie uwierzytelniania lub nieautoryzowany dostęp do danych
• oNiezabezpieczone bezpośrednie odwołania do obiektów (IDOR) — uzyskiwanie dostępu do danych innego użytkownika poprzez manipulowanie identyfikatorami (ID)
• oBłędy w obsłudze sesji lub tokenów (utrwalenie sesji, przewidywalne tokeny, niewłaściwe użycie JWT) prowadzące do przejęcia konta
• oCross-Site Scripting (XSS), który może kraść sesje lub dane logowania
• oUjawnienie wrażliwych danych — prywatne klucze, sekrety API lub dane osobowe (PII) widoczne w odpowiedziach, pakietach JS lub logach

Wpływ finansowy

Błędy logiki biznesowej, które umożliwiają nieautoryzowane handlowanie, manipulowanie zleceniami lub nadużycia salda

Kryptografia

Luki w szyfrowaniu

Inne typy podatności mogą się kwalifikować, jeśli jesteś w stanie wykazać wyraźny, rzeczywisty wpływ na dane użytkowników, środki finansowe lub integralność systemu.

Aktywa w zakresie

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oAplikacja iOS w Apple Store: cryptohopper-crypto-trading/id1463052050
• oAplikacja na Androida w Google Play Store: com.cryptohopper_mobile

Czego nie nagradzamy

Poniższe kwestie są poza zakresem. Zgłoszenia w tych kategoriach nie otrzymają nagrody i mogą nie otrzymać szczegółowej odpowiedzi.

Jakość raportu

• oBrak działającego proof of concept — musimy być w stanie odtworzyć to znalezisko
• oWyłącznie wyniki zautomatyzowanych skanerów (Burp, Nessus, Nuclei itp.) bez ręcznego proof of concept
• oRaporty generowane przez AI lub oparte na szablonach, które nie odzwierciedlają oryginalnych, zweryfikowanych badań
• oZduplikowane raporty — nagradzamy pierwszy otrzymany raport
• oSelf-XSS — wpływa wyłącznie na zgłaszającego, bez żadnego wpływu na innych użytkowników
• oWcześniej znane podatne biblioteki bez działającego exploita

Zakres i środowisko

• oTestowanie aktywów niewymienionych w zakresie (środowiska stagingowe, strony partnerów, integracje zewnętrzne)
• oProblemy, które wymagają wcześniejszego przejęcia urządzenia lub konta użytkownika, chyba że to nasz system jest bezpośrednim umożliwiającym czynnikiem
• oProblemy występujące na urządzeniach z jailbreakiem lub zrootowanych, albo przy niestandardowych konfiguracjach klienta (niestandardowe serwery proxy, zmodyfikowane aplikacje), chyba że wpływ jest krytyczny i realistyczny
• oLuki w przestarzałych lub wycofanych z użycia produktach, których już nie wspieramy
• oWektory wymagające niezałatanych środowisk (np. brakujących aktualizacji systemu operacyjnego) lub wersji przeglądarek starszych niż 6 miesięcy
• oAtaki wymagające MiTM lub fizycznego dostępu do urządzenia

Niski wpływ i wyłącznie zgodne z najlepszymi praktykami

• oKlucze publiczne z integracji zewnętrznych (np. publiczne klucze API giełdy) — nie są one tajne i nie stanowią podatności
• oOtwarte przekierowania bez realistycznego łańcucha ataku (bez kradzieży tokenów, bez istotnej ścieżki phishingowej)
• oClickjacking bez istotnego scenariusza ataku
• oCSRF, w tym nieuwierzytelnione/login/logout CSRF
• oWyliczanie użytkowników
• oUjawnienie banera, wersji lub śladu stosu bez wykazania dalszego ataku
• oUjawnienie adresu IP lub pochodzenia
• oBrak ograniczania liczby żądań bez wyraźnego scenariusza nadużycia
• oBrak stosowania najlepszych praktyk w zakresie SSL/TLS, DNS (DKIM/DMARC/SPF) lub nagłówków HTTP, chyba że jesteś w stanie wykazać realny wpływ
• oBrak Subresource Integrity (SRI) bez dowodu, że skrypt może zostać faktycznie zmanipulowany
• oPodszywanie się pod treść lub wstrzykiwanie tekstu
• oWstrzyknięcie CSV bez działającego exploita
• oMożliwość tworzenia kont lub wysyłania e‑maili bez ograniczeń (bez wykazanego nadużycia)
• oUjawnienie niepoufnych informacji (wersje produktu, ścieżki plików)
• oWyciekanie tokenów do zaufanych stron trzecich przez HTTPS
• oBrak powiadomień o działaniach użytkownika
• oDoS/DDoS

Postępowanie

• oProsimy, aby nie łączyć swojego zgłoszenia z żądaniami zapłaty ani groźbami ujawnienia informacji. Każde zgłoszenie traktujemy sprawiedliwie, a nagrody opieramy wyłącznie na wartości technicznej i wpływie zgłoszenia. Zgłoszenia połączone z żądaniami lub groźbami nie będą kwalifikować się do otrzymania nagrody.
• oNaruszenia zasad programu (nieautoryzowany dostęp do danych, publiczne ujawnienie przed naprawą itp.)

Jak przesłać zgłoszenie

Wyślij e-mail na adres [email protected]. Potwierdzimy otrzymanie Twojego zgłoszenia w ciągu 5 dni roboczych.

Co stanie się dalej

1. Potwierdzenie — potwierdzimy otrzymanie w ciągu 5 dni roboczych
2. Segregacja — nasz zespół ds. bezpieczeństwa analizuje i odtwarza zgłoszone znalezisko
3. Naprawa — pracujemy nad rozwiązaniem i na bieżąco informujemy Cię o postępach
4. Nagroda — jeśli się kwalifikujesz, omawiamy i wypłacamy bounty
5. Ujawnienie — prosimy o 30 dni przed jakimkolwiek publicznym ujawnieniem

Dobry raport ułatwia naszym inżynierom odtworzenie problemu i zrozumienie jego wpływu. Prosimy o uwzględnienie:

1. Opis wpływu — co napastnik faktycznie może zrobić? (np. „Napastnik może przejąć dowolne konto, jeśli…”)
2. Odtworzenie krok po kroku — dokładne kroki, żądania lub minimalny skrypt
3. Dowód koncepcji — działający skrypt lub sekwencja żądań
4. Adres URL i parametry — pełny adres URL, filtry lub powiązane pola
5. Zrzuty ekranu lub wideo (mile widziane)
6. Twój adres IP — zachowany w tajemnicy, używany do powiązania z naszymi logami

Zgłoszenia, które są niejasne, nie wskazują wyraźnego wpływu lub nie mogą zostać odtworzone, nie kwalifikują się do nagrody i mogą nie otrzymać szczegółowej odpowiedzi.

Zasady

Testuj odpowiedzialnie. Używaj tylko metod niezbędnych do znalezienia lub zademonstrowania podatności.

• oSzanuj prywatność innych użytkowników — nie uzyskuj dostępu do danych wykraczających poza to, co jest bezwzględnie konieczne do udowodnienia problemu
• oNie wykorzystuj luk w zabezpieczeniach do żadnych celów wykraczających poza własne dochodzenie
• oNie ujawniaj publicznie ani osobom trzecim podatności w ciągu 30 dni od zgłoszenia; daj nam czas na ich naprawienie przed upublicznieniem informacji
• oNie używaj socjotechniki, aby uzyskać dostęp
• oNie instaluj backdoorów, nie modyfikuj danych ani w żaden sposób nie zmieniaj systemu
• oNie używaj technik siłowego łamania zabezpieczeń
• oNie przeprowadzaj testów typu odmowa usługi (DoS)
• oZachowaj dostęp wyłącznie dla siebie — nie udostępniaj innym dostępu do systemu

Nagrody

Doceniamy wszystkie możliwe do wykorzystania zgłoszenia — każde rzetelne zgłoszenie pomaga nam chronić naszych użytkowników. Nagrody są jednak zarezerwowane dla odkryć, które mają wykazalny, realny wpływ w świecie rzeczywistym. Wysokość wypłaty zależy od wagi problemu, jego wpływu oraz jakości zgłoszenia; nie ma ustalonego minimalnego ani maksymalnego progu.

Nie wypłacamy nagród za problemy o niskim wpływie, teoretyczne znaleziska bez działającego exploita ani za zautomatyzowane lub wygenerowane przez AI raporty.

Aby się zakwalifikować, musisz mieszkać w kraju, który nie podlega obowiązującym sankcjom (np. Kuba, Iran, Korea Północna, Sudan, Syria). Jest to program uznaniowy — Cryptohopper zastrzega sobie prawo do jego anulowania lub odmowy wypłaty nagrody w dowolnym momencie.

Kilka rzeczy, o których warto pamiętać:

• oW przypadku duplikatów nagradzany jest tylko pierwszy otrzymany raport
• oWiele podatności wynikających z jednej przyczyny źródłowej jest traktowanych jako jedno znalezisko
• oNagrody mogą mieć formę pieniężną lub przyjąć postać subskrypcji Cryptohopper, według naszego uznania
• oNagrody pieniężne są wypłacane za pośrednictwem PayPal (na całym świecie) lub przelewem bankowym (tylko w UE)