Programa de Recompensas de Segurança

Nenhuma tecnologia é perfeita. Na Cryptohopper, levamos a segurança dos fundos e dos dados de nossos usuários a sério — e valorizamos cada pesquisador que compartilha desse compromisso. Aceitamos todos os relatórios acionáveis e só pagamos recompensas por descobertas que tenham impacto real e demonstrável.

Nosso compromisso com os pesquisadores

Queremos que a pesquisa de segurança seja segura e valiosa. Se você seguir as regras deste programa, nós nos comprometemos a:

• oAcusar o recebimento do seu relatório em até 5 dias úteis
• oManter você informado enquanto fazemos a triagem e trabalhamos em uma correção
• oNão tomar medidas civis ou criminais contra você por pesquisas de segurança conduzidas dentro do escopo deste programa
• oSolicitar 30 dias antes de você divulgar publicamente uma descoberta, para nos dar tempo de corrigir e proteger nossos usuários

Pedimos que você nos dê uma chance justa de responder antes de tornar qualquer descoberta pública. Se perdermos o prazo de 30 dias sem um motivo válido, vamos trabalhar com você em um cronograma coordenado de divulgação.

O que queremos saber

Para se qualificar para uma recompensa, uma submissão deve incluir uma prova de conceito funcional e uma descrição clara do que um atacante realmente poderia fazer. Nós priorizamos descobertas nestas áreas:

Comprometimento do sistema

• oExecução remota de código
• oInjeção de SQL
• oOutros tipos de injeção (NoSQL, comando, injeção de template) com um exploit funcional
• oEntidade Externa XML (XXE)
• oServer-Side Request Forgery (SSRF)
• oAcesso/upload ao bucket S3

Segurança da conta e dos dados

• oIgnorar autenticação ou acesso não autorizado a dados
• oReferências Diretas a Objetos Inseguras (IDOR) — acessar os dados de outro usuário manipulando IDs
• oFalhas de sessão ou de token (fixação de sessão, tokens previsíveis, uso incorreto de JWT) levando à tomada de controle da conta
• oCross-Site Scripting (XSS) que pode roubar sessões ou credenciais
• oExposição de dados sensíveis — chaves privadas, segredos de API ou PII visíveis em respostas, pacotes JS ou logs

Impacto financeiro

Falhas de lógica de negócio que permitem trading não autorizado, manipulação de pedidos ou abuso de saldo

Criptografia

Vulnerabilidades de criptografia

Outros tipos de vulnerabilidades podem se qualificar se você conseguir demonstrar um impacto claro e real nos dados dos usuários, nos fundos ou na integridade do sistema.

Ativos dentro do escopo

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oAplicativo iOS na Apple Store: cryptohopper-crypto-trading/id1463052050
• oAplicativo Android na Google Play Store: com.cryptohopper_mobile

O que não recompensamos

Os itens a seguir estão fora de escopo. Relatórios nessas categorias não receberão recompensa e podem não receber uma resposta detalhada.

Qualidade do relatório

• oNenhuma prova de conceito funcional — precisamos ser capazes de reproduzir a descoberta
• oSomente resultados de scanners automatizados (Burp, Nessus, Nuclei, etc.) sem uma prova de conceito manual
• oRelatórios gerados por IA ou baseados em modelos que não refletem pesquisa original e verificada
• oRelatórios duplicados — recompensamos o primeiro relatório que recebemos
• oSelf-XSS — afeta apenas quem relata, sem impacto sobre outros usuários
• oBibliotecas vulneráveis já conhecidas, sem um exploit funcional

Escopo e ambiente

• oTestes em ativos que não estão listados como dentro do escopo (ambientes de homologação, sites de parceiros, integrações de terceiros)
• oProblemas que exigem comprometimento prévio do dispositivo ou da conta do usuário, a menos que nosso sistema seja o facilitador direto
• oProblemas em dispositivos com jailbreak ou root, ou em configurações de cliente não padrão (proxies personalizados, aplicativos modificados), a menos que o impacto seja crítico e realista
• oVulnerabilidades em produtos obsoletos ou descontinuados que não oferecemos mais suporte
• oVetores que exigem ambientes sem correções (por exemplo, com atualizações de sistema operacional ausentes) ou versões de navegador com mais de 6 meses
• oAtaques que exigem MiTM ou acesso físico ao dispositivo

Baixo impacto e apenas melhores práticas

• oChaves públicas de integrações de terceiros (por exemplo, chaves públicas de API de corretora) — elas não são secretas e não representam uma vulnerabilidade
• oRedirecionamentos abertos sem uma cadeia de ataque realista (sem roubo de token, sem caminho de phishing significativo)
• oClickjacking sem um cenário de ataque significativo
• oCSRF, incluindo CSRF não autenticado/de login/de logout
• oEnumeração de usuários
• oDivulgação de banner, versão ou rastreamento de pilha sem um ataque subsequente demonstrado
• oDivulgação de endereço IP ou origem
• oAusência de limitação de taxa sem um cenário claro de abuso
• oAusência de boas práticas em SSL/TLS, DNS (DKIM/DMARC/SPF) ou cabeçalhos HTTP, a menos que você consiga demonstrar impacto real
• oAusência de Subresource Integrity (SRI) sem evidências de que o script possa realmente ser adulterado
• oFalsificação de conteúdo ou injeção de texto
• oInjeção de CSV sem um exploit funcional
• oCapacidade de criar contas ou enviar e-mails sem limites (sem abuso demonstrado)
• oDivulgação de informações não sensíveis (versões de produtos, caminhos de arquivos)
• oVazamento de token para terceiros confiáveis por meio de HTTPS
• oNotificações ausentes para ações do usuário
• oDoS/DDoS

Conduta

• oPor favor, não vincule seu relatório a exigências de pagamento ou ameaças de divulgação. Tratamos todos os relatórios de forma justa e baseamos as recompensas exclusivamente no mérito técnico e no impacto. Relatórios acompanhados de exigências ou ameaças não serão elegíveis para recompensa.
• oViolações das regras do programa (acesso não autorizado a dados, divulgação pública antes da correção, etc.)

Como enviar

Envie um e-mail para [email protected]. Nós confirmaremos o recebimento do seu relatório em até 5 dias úteis.

O que acontece em seguida

1. Confirmação — nós confirmamos o recebimento em até 5 dias úteis
2. Triagem — nossa equipe de segurança analisa e reproduz a descoberta
3. Correção — trabalhamos em uma solução e mantemos você atualizado
4. Recompensa — se for elegível, nós discutimos e pagamos a recompensa
5. Divulgação — pedimos um prazo de 30 dias antes de qualquer divulgação pública

Um bom relatório facilita para nossos engenheiros reproduzirem o problema e entenderem o impacto. Por favor, inclua:

1. Declaração de impacto — o que um invasor realmente pode fazer? (por exemplo: 'Um invasor pode assumir o controle de qualquer conta ao…')
2. Reprodução passo a passo — etapas exatas, requisições ou um script mínimo
3. Prova de conceito — um script funcional ou sequência de requisições
4. URL afetada e parâmetros — URL completa, filtros ou campos envolvidos
5. Capturas de tela ou vídeo (muito apreciado)
6. Seu endereço IP — mantido em sigilo, usado para correlacionar com nossos logs

Relatórios vagos, sem impacto claro ou que não possam ser reproduzidos não são elegíveis a recompensa e podem não receber uma resposta detalhada.

Regras

Teste de forma responsável. Use apenas os métodos necessários para encontrar ou demonstrar uma vulnerabilidade.

• oRespeite a privacidade de outros usuários — não acesse dados além do que é estritamente necessário para comprovar o problema
• oNão explore vulnerabilidades para qualquer finalidade além da sua própria investigação
• oNão divulgue vulnerabilidades publicamente ou a terceiros dentro de 30 dias após o seu relatório; dê-nos tempo para corrigir antes de torná-las públicas
• oNão use engenharia social para obter acesso
• oNão instale backdoors, modifique dados ou altere o sistema de qualquer forma
• oNão use técnicas de força bruta
• oNão realize testes de negação de serviço
• oMantenha o acesso apenas para você — não compartilhe o acesso ao sistema com outras pessoas

Recompensas

Agradecemos todos os relatórios acionáveis — cada envio legítimo nos ajuda a proteger nossos usuários. As recompensas, porém, são reservadas para descobertas que tenham impacto real e demonstrável. O pagamento é baseado na gravidade, no impacto e na qualidade do relatório; não há valor mínimo ou máximo fixo.

Não pagamos recompensas por problemas de baixo impacto, descobertas teóricas sem um exploit funcional ou relatórios automatizados ou gerados por IA.

Para ser elegível, você deve residir em um país que não esteja sujeito a sanções aplicáveis (por exemplo, Cuba, Irã, Coreia do Norte, Sudão, Síria). Este é um programa discricionário — a Cryptohopper reserva-se o direito de cancelá-lo ou recusar o pagamento de uma recompensa a qualquer momento.

Algumas coisas para ter em mente:

• oQuando ocorrerem duplicatas, apenas o primeiro relatório recebido será recompensado
• oMúltiplas vulnerabilidades originadas de uma única causa raiz são tratadas como um único achado
• oAs recompensas podem ser monetárias ou na forma de uma assinatura Cryptohopper, a nosso critério
• oRecompensas monetárias são pagas via PayPal (no mundo todo) ou transferência bancária (apenas na UE)