Programa de recompensas de segurança

Nenhuma tecnologia é perfeita. No Cryptohopper, sempre queremos garantir que os traders possam gerenciar seus portfólios sem a necessidade de se preocupar com seus dados e com a execução de trade. Se você encontrar algo que possa afetar a segurança de nossos usuários, agradecemos sua ajuda e recompensamos com informações úteis

No escopo

Você pode enviar qualquer número de vulnerabilidades em nossos sistemas. No entanto, nem todas as vulnerabilidades são iguais. Se encontrar uma vulnerabilidade nas seguintes categorias, entre em contato conosco o mais rápido possível


Os seguintes domínios e aplicativos são elegíveis para recompensas no âmbito deste programa

  • Vulnerabilidades de injeção de SQL
  • Vulnerabilidades de criptografia
  • Execução remota de código
  • Contorno de autenticação, acesso não autorizado a dados
  • Entidade externa XML
  • Upload do Bucket S3
  • Falsificação de solicitação do lado do servidor

Os domínios e aplicativos a seguir são elegíveis para recompensas no âmbito deste programa:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • iOS application na Apple Store: cryptohopper-crypto-trading/id1463052050
  • Aplicativo para Android na Google Play Store: com.cryptohopper_mobile

Fora do escopo

Não aceitamos envios nas seguintes categorias:

  • Capacidade de criar contas de usuário sem limites
  • Capacidade de executar uma ação indisponível por meio da interface do usuário sem riscos de segurança identificados
  • Capacidade de enviar e-mails sem controle sobre o conteúdo e sem limites
  • Qualquer atividade que possa levar à interrupção de nosso serviço (DoS)
  • Ataques que exigem MiTM ou acesso físico ao dispositivo de um usuário
  • Clickjacking
  • Falsificação de conteúdo e injeção de texto
  • Injeção de CSV sem demonstrar uma vulnerabilidade
  • Divulgação de informações não confidenciais, como versão do produto, caminho do arquivo em um servidor, rastreamento de pilha, etc.
  • Divulgação da origem e dos endereços IP privados ou domínios que apontam para endereços IP privados
  • Vazamento de tokens confidenciais (por exemplo, token de redefinição de senha) para terceiros confiáveis em uma conexão segura (HTTPS)
  • Ausência de práticas recomendadas na configuração de SSL/TLS
  • Ausência de práticas recomendadas na configuração do DNS (DKIM/DMARC/SPF/TXT)
  • Ausência de práticas recomendadas em cabeçalhos HTTP sem demonstrar uma vulnerabilidade
  • Falta de notificações sobre ações importantes
  • Mecanismo de proteção ou práticas recomendadas ausentes sem demonstração do impacto real na segurança do usuário ou do sistema
  • Bibliotecas vulneráveis conhecidas anteriormente sem uma prova de conceito funcional
  • Relatórios que incluem apenas despejos de falhas ou resultados de ferramentas automatizadas sem uma prova de conceito funcional
  • CSRF de login/login/logout não autenticado
  • Enumeração de usuários
  • Vetores que exigem um ambiente não corrigido (por exemplo, atualizações do Windows ausentes)
  • Vetores que exigem versões de navegador lançadas 6 ou mais meses antes do envio do relatório
  • Limitação de taxa ausente nos pontos finais
  • Falsificação de solicitação entre sites (CSRF)

Como enviar uma vulnerabilidade

Você pode enviar vulnerabilidades para nós por e-mail para [email protected].

Informe de forma concisa em seu e-mail a vulnerabilidade encontrada. Inclua especialmente o seguinte em seu e-mail:

  • Qual vulnerabilidade
  • As etapas que você realizou
  • O URL completo
  • Objetos (como filtros ou campos de entrada) envolvidos
  • Agradecemos muito as capturas de tela e os vídeos da tela
  • Forneça seu endereço IP no relatório de bug, que será mantido em sigilo e usado para rastrear suas atividades de teste e analisar os registros de nossa parte
  • Descreva o problema encontrado da forma mais explícita e detalhada possível e forneça todas as evidências que você possa ter. Você pode presumir que a notificação será recebida por especialistas

Regras

Assuma a responsabilidade e aja com extremo cuidado e cautela. Ao investigar o assunto, use somente os métodos ou técnicas necessários para encontrar ou demonstrar as vulnerabilidades

  • Seja um hacker ético e respeite a privacidade dos outros usuários
  • Não use as vulnerabilidades que você descobrir para outros fins que não a sua própria investigação
  • Não divulgue as vulnerabilidades a outras partes além do Cryptohopper; dê-nos um tempo razoável para resolver o problema antes de divulgá-lo ao público ou a terceiros
  • Não use engenharia social para obter acesso a um sistema
  • Não instale nenhuma porta traseira, nem mesmo para demonstrar a vulnerabilidade de um sistema. As back doors comprometerão a segurança dos sistemas
  • Não altere nem exclua nenhuma informação do sistema. Se precisar copiar informações para sua investigação, nunca copie mais do que o necessário. Se um registro for suficiente, não faça mais nada
  • Não altere o sistema de forma alguma
  • Só se infiltre em um sistema se for absolutamente necessário. Se você conseguir se infiltrar em um sistema, não compartilhe o acesso com outras pessoas
  • Não use técnicas de força bruta, como a inserção repetida de senhas, para obter acesso aos sistemas
  • Proteja seus próprios sistemas da forma mais rígida possível

Recompensas

Mantemos a flexibilidade em nosso sistema de recompensas e não temos um valor mínimo/máximo; as recompensas são baseadas na gravidade, no impacto e na qualidade do relatório. Para receber uma recompensa, você deve residir em um país que não esteja nas listas de sanções (por exemplo, Cuba, Irã, Coreia do Norte, Sudão e Síria). Este é um programa discricionário e o Cryptohopper se reserva o direito de cancelar o programa; a decisão de pagar uma recompensa fica a nosso critério

Considerações adicionais:

  • Quando ocorrem duplicatas, concedemos apenas o primeiro relatório que recebemos
  • Várias vulnerabilidades causadas por um problema subjacente receberão uma única recompensa
  • Nossos engenheiros devem ser capazes de reproduzir a falha de segurança de seu relatório. Os relatórios que forem muito vagos ou pouco claros não se qualificam para receber um prêmio. Os relatórios que incluírem explicações claramente escritas e código de trabalho têm maior probabilidade de receber recompensas
Perguntas frequentes
Perguntas frequentes
O Cryptohopper agradece imensamente seu esforço em nos ajudar a proteger nossos sistemas e processos. Dependendo do impacto, determinaremos a recompensa. A recompensa nem sempre é monetária, mas também pode ser na forma de assinaturas do Cryptohopper
Nunca divulgue vulnerabilidades em nossos sistemas de TI ou em sua investigação sem antes nos consultar. Podemos trabalhar juntos para evitar que criminosos abusem de suas informações. Consulte nossos especialistas em segurança e nos dê tempo para resolver o problema
Sim, você pode. Você não precisa nos fornecer seu nome e detalhes de contato ao denunciar uma vulnerabilidade. No entanto, saiba que não poderemos consultá-lo sobre medidas de acompanhamento, por exemplo, o que faremos em relação à sua denúncia, colaboração adicional ou envio de recompensa
Envie os problemas de segurança para [email protected] usando a chave PGP fornecida na documentação do Programa de Recompensas de Segurança

Aviso Legal: O Cryptohopper não é uma entidade regulamentada. A operação de bots de criptomoeda envolve riscos substanciais, e o desempenho passado não é indicativo de resultados futuros. Os lucros mostrados nas capturas de tela do produto são para fins ilustrativos e podem ser exagerados. Somente se envolva na operações de bots se você possuir conhecimento suficiente ou procurar orientação de um consultor financeiro qualificado. Em nenhuma circunstância, o Cryptohopper aceitará qualquer responsabilidade perante qualquer pessoa ou entidade por (a) qualquer perda ou dano, no todo ou em parte, causado por, decorrente de ou em conexão com transações envolvendo nosso software ou (b) quaisquer danos diretos, indiretos, especiais, consequenciais ou incidentais. Por favor, observe que o conteúdo disponível na plataforma de social trading do Cryptohopper é gerado por membros da comunidade Cryptohopper e não constitui aconselhamento ou recomendações do Cryptohopper ou em seu nome. Os lucros mostrados no Marketplace não são indicativos de resultados futuros. Ao usar os serviços do Cryptohopper, você reconhece e aceita os riscos inerentes envolvidos na operação de criptomoedas e concorda em isentar o Cryptohopper de quaisquer responsabilidades ou perdas incorridas. É essencial revisar e compreender nossos Termos de Serviço e Política de Divulgação de Risco antes de usar nosso software ou se envolver em qualquer atividade de operação. Consulte profissionais da área jurídica e financeira para obter orientação personalizada com base em suas circunstâncias específicas.

©2017 - 2023 Copyright by Cryptohopper™ - Todos os direitos reservados.