Программа вознаграждений за обнаружение уязвимостей безопасности

Не существует идеальных технологий. В Cryptohopper мы очень серьезно относимся к безопасности средств и данных наших пользователей и ценим каждого исследователя, который разделяет эту приверженность. Мы приветствуем все практически применимые отчеты и выплачиваем вознаграждения только за те находки, которые имеют реальное, доказуемое влияние.

Наши обязательства перед исследователями

Мы хотим, чтобы исследование безопасности было безопасным и полезным. Если вы будете следовать правилам этой программы, мы обязуемся:

• oПодтвердить получение вашего отчета в течение 5 рабочих дней
• oДержать вас в курсе, пока мы сортируем проблему и работаем над её устранением
• oНе предпринимать в отношении вас гражданских или уголовных действий за исследование в области безопасности, проведённое в рамках этой программы
• oПопросить 30 дней до публичного раскрытия обнаруженной уязвимости, чтобы дать нам время всё исправить и защитить наших пользователей

Мы просим дать нам реальную возможность отреагировать, прежде чем вы обнародуете информацию. Если мы по уважительной причине не уложимся в 30-дневный срок, мы вместе с вами согласуем координированный график раскрытия.

О чём мы хотим услышать

Чтобы претендовать на вознаграждение, сообщение об уязвимости должно содержать рабочий прототип (proof of concept) и четкое описание того, что именно может сделать атакующий. В первую очередь мы рассматриваем находки в следующих областях:

Компрометация системы

• oУдалённое выполнение кода
• oSQL-инъекция
• oДругие типы внедрения (NoSQL, командное, шаблонное внедрение) с рабочей эксплуатацией уязвимости
• oВнешние сущности XML (XXE)
• oПодделка серверных запросов (SSRF)
• oДоступ/загрузка в S3 Bucket

Безопасность аккаунта и данных

• oОбход аутентификации или несанкционированный доступ к данным
• oНебезопасные прямые ссылки на объекты (IDOR) — доступ к данным другого пользователя путём манипуляции идентификаторами (ID)
• oНедостатки сессий или токенов (фиксация сессии, предсказуемые токены, неправильное использование JWT), приводящие к захвату аккаунта
• oМежсайтовый скриптинг (XSS), который может похищать сессии или учетные данные
• oРазглашение конфиденциальных данных — приватные ключи, API-секреты или персональные данные (PII), видимые в ответах, JS-бандлах или логах

Финансовые последствия

Ошибки бизнес-логики, которые позволяют осуществлять несанкционированную торговлю, манипулировать ордерами или злоупотреблять балансом

Криптография

Уязвимости шифрования

Другие типы уязвимостей также могут быть приняты, если вы сможете продемонстрировать четкое, реальное воздействие на пользовательские данные, средства или целостность системы.

Активы в рамках области действия программы

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oПриложение для iOS в Apple Store: cryptohopper-crypto-trading/id1463052050
• oПриложение для Android в Google Play Store: com.cryptohopper_mobile

За что мы не вознаграждаем

Следующие пункты находятся вне области действия программы. Отчёты в этих категориях не получат вознаграждение и могут не получить подробный ответ.

Качество отчета

• oНет рабочего прототипа — нам нужно иметь возможность воспроизвести найденную проблему
• oТолько результаты работы автоматизированных сканеров (Burp, Nessus, Nuclei и т. д.) без вручную подготовленного proof of concept
• oОтчеты, сгенерированные ИИ или созданные по шаблону, которые не отражают оригинальные, проверенные исследования
• oДублирующиеся отчеты — мы вознаграждаем первый полученный отчет
• oSelf-XSS — влияет только на отправителя отчета и не затрагивает других пользователей
• oРанее известные уязвимые библиотеки без рабочего эксплойта

Область и среда

• oТестирование в отношении активов, не указанных в области охвата (стейджинговые среды, сайты партнёров, интеграции с третьими сторонами)
• oПроблемы, которые требуют предварительного взлома устройства или аккаунта пользователя, если только наша система не является их непосредственным источником
• oПроблемы на взломанных или рутованных устройствах, а также при нестандартных конфигурациях клиента (кастомные прокси, модифицированные приложения), если только их влияние не является критичным и реалистичным
• oУязвимости в устаревших или снятых с поддержки продуктах, которые мы больше не поддерживаем
• oВекторы, требующие незащищённых сред (например, отсутствующих обновлений ОС) или версий браузера старше 6 месяцев
• oАтаки, требующие проведения MiTM или физического доступа к устройству

Низкое влияние и только соблюдение передовых практик

• oПубличные ключи из сторонних интеграций (например, публичные ключи API биржи) — они не являются секретными и не представляют уязвимости
• oОткрытые перенаправления без реалистичной цепочки атаки (без кражи токенов, без значимого сценария фишинга)
• oКликджекинг без значимого сценария атаки
• oCSRF, включая неаутентифицированный/login/logout CSRF
• oПеребор пользователей
• oРаскрытие баннера, версии или трассировки стека без демонстрации последующей атаки
• oРаскрытие IP-адреса или источника
• oОтсутствие ограничения частоты запросов без очевидного сценария злоупотребления
• oОтсутствие передовых практик в SSL/TLS, DNS (DKIM/DMARC/SPF) или HTTP-заголовках, если только вы не можете продемонстрировать реальное влияние
• oОтсутствие Subresource Integrity (SRI) без доказательств того, что скрипт действительно может быть подделан
• oПодмена содержимого или внедрение текста
• oCSV-инъекция без рабочего эксплойта
• oВозможность создавать аккаунты или отправлять электронные письма без ограничений (без подтвержденного злоупотребления)
• oРаскрытие несекретной информации (версии продукта, пути к файлам)
• oУтечка токенов к доверенным третьим сторонам по протоколу HTTPS
• oОтсутствуют уведомления о действиях пользователя
• oDoS/DDoS

Поведение

• oПожалуйста, не связывайте свой отчет с требованиями оплаты или угрозами раскрытия информации. Мы рассматриваем каждый отчет беспристрастно и основываем размер вознаграждения исключительно на технической значимости и влиянии. Отчеты, сопровождаемые требованиями или угрозами, не будут иметь права на получение вознаграждения.
• oНарушения правил программы (несанкционированный доступ к данным, публичное раскрытие информации до устранения уязвимости и т. д.)

Как отправить отчет

Отправьте письмо на адрес [email protected]. Мы подтвердим получение вашего отчета в течение 5 рабочих дней.

Что будет дальше

1. Подтверждение — мы подтверждаем получение в течение 5 рабочих дней
2. Сортировка — наша команда безопасности проверяет и воспроизводит обнаруженную проблему
3. Исправление — мы работаем над решением и держим вас в курсе
4. Вознаграждение — если вы имеете на него право, мы обсудим и выплатим баунти
5. Раскрытие — мы просим 30 дней до любого публичного раскрытия информации

Хороший отчет помогает нашим инженерам легко воспроизвести проблему и понять её влияние. Пожалуйста, укажите:

1. Описание последствий — что на самом деле может сделать атакующий? (например: «Атакующий может захватить любой аккаунт, если…»)
2. Пошаговое воспроизведение — точные шаги, запросы или минимальный скрипт
3. Доказательство концепции — рабочий скрипт или последовательность запросов
4. Затронутый URL и параметры — полный URL, фильтры или задействованные поля
5. Скриншоты или видео (очень приветствуются)
6. Ваш IP-адрес — не разглашается и используется только для сопоставления с нашими журналами

Отчёты, которые являются расплывчатыми, не содержат чётко определённого влияния или не могут быть воспроизведены, не подлежат вознаграждению и могут не получить подробного ответа.

Правила

Проводите тестирование ответственно. Используйте только те методы, которые необходимы для обнаружения или демонстрации уязвимости.

• oУважайте конфиденциальность других пользователей — не получайте доступ к данным сверх того, что строго необходимо для подтверждения проблемы
• oНе используйте уязвимости ни в каких целях, кроме собственных исследовательских
• oНе раскрывайте уязвимости публично или третьим лицам в течение 30 дней после вашего отчета; дайте нам время устранить их до публичного раскрытия
• oНе используйте социальную инженерию для получения доступа
• oНе устанавливайте бэкдоры, не изменяйте данные и не вносите никаких изменений в систему
• oНе используйте методы перебора (brute force)
• oНе выполняйте тестирование на отказ в обслуживании
• oДержите доступ при себе — не передавайте доступ к системе другим

Вознаграждения

Мы ценим все полезные отчёты — каждое добросовестное сообщение помогает нам защищать наших пользователей. Однако вознаграждения предназначены только для тех находок, которые имеют доказуемое, реальное влияние. Размер выплаты зависит от серьёзности проблемы, её воздействия и качества отчёта; фиксированного минимального или максимального порога нет.

Мы не выплачиваем вознаграждения за малозначительные проблемы, теоретические уязвимости без рабочего эксплойта, а также за автоматизированные или сгенерированные ИИ отчёты.

Чтобы иметь право на участие, вы должны проживать в стране, на которую не распространяются соответствующие санкции (например, Куба, Иран, Северная Корея, Судан, Сирия). Это дискреционная программа — Cryptohopper оставляет за собой право в любой момент отменить её или отказать в выплате вознаграждения.

Несколько вещей, которые стоит иметь в виду:

• oЕсли возникают дубликаты, вознаграждается только первый полученный отчет
• oНесколько уязвимостей, возникающих из одной и той же первопричины, рассматриваются как одно обнаружение
• oВознаграждения могут быть денежными или в виде подписки Cryptohopper, по нашему усмотрению
• oДенежные вознаграждения выплачиваются через PayPal (по всему миру) или банковским переводом (только в ЕС)