Güvenlik Ödül Programı

Hiçbir teknoloji mükemmel değildir. Cryptohopper’da kullanıcılarımızın fonlarının ve verilerinin güvenliğini ciddiye alıyoruz ve bu taahhüdü paylaşan her araştırmacıyı takdir ediyoruz. Tüm uygulanabilir raporları memnuniyetle karşılıyor ve yalnızca gerçek, gösterilebilir etkisi olan bulgular için ödül veriyoruz.

Araştırmacılara olan taahhüdümüz

Güvenlik araştırmalarının güvenli ve değerli olmasını istiyoruz. Bu programdaki kurallara uyarsanız, şu taahhütlerde bulunuyoruz:

• oRaporunuzu 5 iş günü içinde aldığımızı bildirmek
• oSorunu önceliklendirme ve çözüm üzerinde çalışma sürecimiz boyunca sizi bilgilendirmeye devam edeceğiz
• oBu programın kapsamı dahilinde yürüttüğünüz güvenlik araştırmaları nedeniyle size karşı hukuki veya cezai işlem başlatmamak
• oBir bulguyu kamuya açıklamadan önce bize 30 gün süre tanımanızı, böylece sorunu düzeltip kullanıcılarımızı koruyabilmemizi rica ederiz

Kamuya açıklama yapmadan önce bize yanıt verme konusunda adil bir fırsat tanımanızı rica ediyoruz. Geçerli bir neden olmaksızın 30 günlük süreyi kaçırırsak, sizinle birlikte koordineli bir açıklama takvimi üzerinde çalışacağız.

Duymak istediğimiz şeyler

Ödüle hak kazanmak için, gönderinin çalışan bir kavram kanıtı ve bir saldırganın gerçekte neler yapabileceğini açıkça anlatan bir açıklama içermesi gerekir. Aşağıdaki alanlardaki bulgulara öncelik veriyoruz:

Sistemin ele geçirilmesi

• oUzaktan Kod Çalıştırma
• oSQL Enjeksiyonu
• oÇalışan bir istismarla (NoSQL, komut, şablon enjeksiyonu) diğer enjeksiyon türleri
• oXML Harici Varlığı (XXE)
• oSunucu Taraflı İstek Sahteciliği (SSRF)
• oS3 Bucket erişimi/yükleme

Hesap ve veri güvenliği

• oKimlik doğrulamanın atlatılması veya yetkisiz veri erişimi
• oGüvensiz Doğrudan Nesne Referansları (IDOR) — kimlikleri (ID'leri) değiştirerek başka bir kullanıcının verilerine erişme
• oHesap ele geçirilmesine yol açan oturum veya jeton açıkları (oturum sabitleme, tahmin edilebilir jetonlar, JWT’nin hatalı kullanımı)
• oOturumları veya kimlik bilgilerini çalabilen Siteler Arası Betik Çalıştırma (XSS)
• oHassas verilerin açığa çıkması — yanıtlar, JS paketleri veya günlüklerde görülebilen özel anahtarlar, API gizli anahtarları ya da kişisel tanımlanabilir bilgiler (PII)

Finansal etki

İzinsiz işlem yapılmasına, emir manipülasyonuna veya bakiye suistimaline izin veren iş mantığı kusurları

Kriptografi

Şifreleme açıkları

Diğer güvenlik açığı türleri, kullanıcı verileri, fonlar veya sistem bütünlüğü üzerinde net ve gerçek dünya etkisi olduğunu gösterebilirseniz uygun kabul edilebilir.

Kapsam içindeki varlıklar

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oApple Store'daki iOS uygulaması: cryptohopper-crypto-trading/id1463052050
• oGoogle Play Store'da Android uygulaması: com.cryptohopper_mobile

Ödüllendirmediğimiz durumlar

Aşağıdakiler kapsam dışıdır. Bu kategorilerdeki raporlar ödül alamaz ve ayrıntılı bir yanıt almayabilir.

Rapor kalitesi

• oÇalışan bir kavram kanıtı yok — bulguyu yeniden üretebilmemiz gerekiyor
• oYalnızca otomatik tarayıcılardan (Burp, Nessus, Nuclei vb.) alınan çıktı, elle hazırlanmış bir kavram kanıtı olmadan
• oOrijinal ve doğrulanmış araştırmayı yansıtmayan, yapay zeka tarafından üretilmiş veya şablon raporlar
• oYinelenen raporlar — yalnızca aldığımız ilk raporu ödüllendiririz
• oSelf-XSS — yalnızca raporlayanı etkiler, diğer kullanıcılar üzerinde hiçbir etkisi yoktur
• oÇalışan bir istismarı olmayan, önceden bilinen güvenlik açığı bulunan kütüphaneler

Kapsam ve ortam

• oKapsamda listelenmeyen varlıklar üzerinde test yapılması (hazırlık ortamları, iş ortağı siteleri, üçüncü taraf entegrasyonları)
• oSistemimizin doğrudan etkileyici olmadığı sürece, kullanıcının cihazının veya hesabının önceden ele geçirilmesini gerektiren sorunlar
• oKırılmış (jailbreak yapılmış) veya root erişimi verilmiş cihazlarda ya da standart dışı istemci yapılandırmalarında (özel proxy’ler, değiştirilmiş uygulamalar) ortaya çıkan sorunlar; etkisi kritik ve gerçekçi olmadığı sürece
• oArtık desteklemediğimiz kullanımdan kaldırılmış veya kullanım ömrü sona ermiş ürünlerdeki güvenlik açıkları
• oYaması yapılmamış ortamlar (örneğin eksik işletim sistemi güncellemeleri) veya 6 aydan daha eski tarayıcı sürümleri gerektiren vektörler
• oMiTM veya fiziksel cihaz erişimi gerektiren saldırılar

Düşük etkili ve yalnızca en iyi uygulamalara yönelik

• oÜçüncü taraf entegrasyonlardan gelen genel anahtarlar (örneğin borsa API genel anahtarları) — bunlar gizli değildir ve bir güvenlik açığı oluşturmaz
• oGerçekçi bir saldırı zinciri olmadan yapılan açık yönlendirmeler (token hırsızlığı veya anlamlı bir kimlik avı yolu olmadan)
• oAnlamlı bir saldırı senaryosu olmadan yapılan tıklama kaçırma (clickjacking)
• oKimlik doğrulaması yapılmamış, giriş/çıkış CSRF dâhil CSRF
• oKullanıcı numaralandırma
• oKanıtlanmış bir devam saldırısı olmadan afiş, sürüm veya yığın izi ifşası
• oIP adresi veya kaynak ifşası
• oAçık bir kötüye kullanım senaryosu olmadan hız sınırlamasının eksik olması
• oGerçek bir etki gösterebilmediğiniz sürece SSL/TLS, DNS (DKIM/DMARC/SPF) veya HTTP başlıklarındaki en iyi uygulamaların eksikliği
• oBetiğin gerçekten değiştirilebileceğine dair kanıt olmadan eksik Alt Kaynak Bütünlüğü (SRI)
• oİçerik sahteciliği veya metin enjeksiyonu
• oÇalışan bir istismar olmadan CSV enjeksiyonu
• oSınırsız şekilde hesap oluşturma veya e-posta gönderme imkânı (kötüye kullanım gösterilmemiş)
• oHassas olmayan bilgilerin ifşa edilmesi (ürün sürümleri, dosya yolları)
• oHTTPS üzerinden güvenilir üçüncü taraflara token sızıntısı
• oKullanıcı eylemleri için eksik bildirimler
• oDoS/DDoS

Davranış

• oLütfen raporunuzu ödeme taleplerine veya ifşa tehditlerine bağlamayın. Her raporu adil bir şekilde değerlendirir ve ödülleri yalnızca teknik yeterlilik ve etkiye göre belirleriz. Talepler veya tehditler içeren raporlar ödül almaya uygun olmayacaktır.
• oProgram kurallarının ihlalleri (yetkisiz veri erişimi, düzeltme yapılmadan önce kamuya açıklama vb.)

Nasıl gönderilir

E-posta gönderin [email protected]. Raporunuzu 5 iş günü içinde aldığımızı bildireceğiz.

Sırada ne olacak

1. Onay — bildiriminizi 5 iş günü içinde aldığımızı teyit ederiz
2. Ön değerlendirme — güvenlik ekibimiz bulguyu inceler ve yeniden üretir
3. Düzeltme — bir çözüm üzerinde çalışır ve sizi bilgilendirmeye devam ederiz
4. Ödül — uygunluk durumunda, ödül hakkında konuşur ve ödemesini yaparız
5. Açıklama — herhangi bir kamuya açık açıklamadan önce 30 gün süre istiyoruz

İyi hazırlanmış bir rapor, mühendislerimizin sorunu yeniden oluşturmasını ve etkisini anlamasını kolaylaştırır. Lütfen şunları ekleyin:

1. Etkı̇ beyanı — bir saldırgan gerçekte ne yapabı̇lı̇r? (ör. 'Bir saldırgan herhangi̇ bır hesabı ele geçı̇rebı̇lı̇r…')
2. Adım adım yeniden üretim — tam adımlar, istekler veya en basit komut dosyası
3. Çalışan bir komut dosyası veya istek dizisi içeren bir kavram kanıtı
4. Etkilenen URL ve parametreler — tam URL, filtreler veya ilgili alanlar
5. Ekran görüntüleri veya video (çok makbule geçer)
6. IP adresiniz — gizli tutulur, günlüklerimizle eşleştirmek için kullanılır

Belirsiz olan, net bir etkisi bulunmayan veya yeniden üretilemeyen raporlar, ödül almaya uygun değildir ve ayrıntılı bir yanıt alamayabilir.

Kurallar

Sorumlu bir şekilde test edin. Yalnızca bir güvenlik açığını bulmak veya göstermek için gerekli yöntemleri kullanın.

• oDiğer kullanıcıların gizliliğine saygı gösterin — sorunu kanıtlamak için kesinlikle gerekli olandan daha fazla veriye erişmeyin
• oGüvenlik açıklarını kendi araştırmanızın ötesinde hiçbir amaçla kullanmayın
• oRaporunuzdan itibaren 30 gün içinde güvenlik açıklarını kamuya açık şekilde veya üçüncü taraflarla paylaşmayın; kamuya açıklamadan önce bunları düzeltmemiz için bize zaman tanıyın.
• oErişim sağlamak için sosyal mühendislik kullanmayın
• oArka kapılar kurmayın, verileri değiştirmeyin veya sistemi hiçbir şekilde değiştirmeyin.
• oKaba kuvvet teknikleri kullanmayın
• oHizmet engelleme testi gerçekleştirmeyin
• oErişimi yalnızca kendiniz için saklayın — sistem erişiminizi başkalarıyla paylaşmayın

Ödüller

Tüm uygulanabilir raporları takdir ediyoruz — yapılan her gerçek başvuru kullanıcılarımızı korumamıza yardımcı olur. Ancak ödüller, somut ve gerçek dünyada etkisi gösterilebilir bulgular için ayrılmıştır. Ödeme, ciddiyet, etki ve rapor kalitesine göre belirlenir; sabit bir asgari veya azami tutar yoktur.

Düşük etkili sorunlar, çalışır durumda bir istismarı olmayan teorik bulgular veya otomatik ya da yapay zekâ tarafından oluşturulmuş raporlar için ödül ödemiyoruz.

Uygun olabilmek için, ilgili yaptırımlara tabi olmayan bir ülkede ikamet etmeniz gerekir (örneğin Küba, İran, Kuzey Kore, Sudan, Suriye). Bu isteğe bağlı bir programdır — Cryptohopper, programı herhangi bir zamanda iptal etme veya bir ödül ödemeyi reddetme hakkını saklı tutar.

Aklınızda bulundurmanız gereken birkaç nokta:

• oYinelenen durumlar olduğunda, yalnızca ilk alınan rapor ödüllendirilir
• oTek bir temel nedenden kaynaklanan birden fazla güvenlik açığı tek bir bulgu olarak değerlendirilir
• oÖdüller, takdirimize bağlı olarak, parasal olabilir veya bir Cryptohopper aboneliği şeklinde verilebilir
• oMaddi ödüller PayPal (dünya çapında) veya banka havalesi (yalnızca AB için) yoluyla ödenir