Güvenlik Ödül Programı

Hiçbir teknoloji mükemmel değildir. Cryptohopper'da her zaman yatırımcıların portföylerini, verilerini işlemlerinin yürütülmesi konusunda endişelenmelerine gerek kalmadan yönetebilmelerini sağlamak istiyoruz. Kullanıcılarımızın güvenliğini potansiyel olarak etkileyen bir şey bulursanız, yardımınız için minnettar oluruz ve eyleme geçirilebilir bilgileri ödüllendiririz

Kapsam Dâhilinde

Dilediğiniz kadar sistem açığını bize gönderebilirsiniz. Ancak tüm sistem açıkları eşit değildir. Aşağıdaki kategorilerde bir sistem açığını bulursanız, lütfen mümkün olan en kısa sürede bizimle iletişime geçin


Aşağıdaki alan adları ve uygulamalar, bu program kapsamındaki ödüller için uygundur

  • SQL Enjeksiyonu sistem açıkları
  • Şifrelemenin zayıf noktaları
  • Uzaktan Kod Çalıştırma
  • Kimlik Doğrulama Atlatma, Yetkisiz veri erişimi
  • XML Harici Varlık
  • S3 Kova Yükleme
  • Sunucu Taraflı İstek Sahteciliği

Aşağıdaki alan adları ve uygulamalar bu program kapsamındaki ödüller için uygundur:

  • www.cryptohopper.com
  • api.cryptohopper.com
  • Apple Store'daki iOS uygulaması: cryptohopper-crypto-trading/id1463052050
  • Google Play Store'daki Android uygulaması: com.cryptohopper_mobile

Kapsam Dışı

Aşağıdaki kategorilerdeki başvuruları kabul etmiyoruz:

  • Herhangi bir sınırlama olmaksızın kullanıcı hesabı oluşturabilme
  • Kullanıcı arayüzü üzerinden gerçekleştirilemeyen bir eylemi tanımlanmış güvenlik riskleri olmadan gerçekleştirebilme
  • İçerik üzerinde herhangi bir kontrol olmaksızın sınırsız e-posta gönderebilme
  • Hizmetimizin kesintiye uğramasına yol açabilecek her türlü faaliyet (DoS)
  • MiTM veya bir kullanıcının cihazına fiziksel erişim gerektiren saldırılar
  • Tıklama hilesi
  • İçerik sahteciliği ve metin enjeksiyonu
  • Sistem açığı göstermeden CSV enjeksiyonu
  • Ürün sürümü, sunucudaki dosya yolu, yığın izi vb. gibi hassas olmayan bilgilerin ifşa edilmesi
  • Kaynak ve özel IP adreslerinin veya özel IP adreslerine işaret eden alan adlarının ifşa edilmesi
  • Hassas belirteçlerin (örn. parola sıfırlama belirteci) güvenli bağlantı altında (HTTPS) güvenilir üçüncü taraflara sızması
  • SSL/TLS yapılandırmasında eksik olan en iyi uygulamalar
  • DNS yapılandırmasında eksik olan en iyi uygulamalar (DKIM/DMARC/SPF/TXT)
  • Sistem açığı göstermeden HTTP başlıklarında en iyi uygulamaların eksik olması
  • Önemli eylemler hakkında eksik bildirimler
  • Kullanıcı veya sistem için gerçek güvenlik etkisi gösterilmeden eksik koruma mekanizması veya en iyi uygulamalar
  • Çalışan bir kavram kanıtı olmadan önceden savunmasız olduğu bilinen kütüphaneler
  • Çalışan bir kavram kanıtı olmadan yalnızca çökme dökümlerini veya otomatik araç çıktılarını içeren raporlar
  • Kimliği doğrulanmamış/giriş/çıkış CSRF
  • Kullanıcı dökümü
  • Yamalanmamış ortam gerektiren vektörler (örn. eksik Windows güncellemeleri)
  • Raporun sunulmasından 6 ay veya daha uzun süre önce piyasaya çıkan tarayıcı sürümlerini gerektiren vektörler
  • Uç noktalarda eksik oran sınırlaması
  • Siteler Arası İstek Sahteciliği (CSRF)

Sistem açığı nasıl gönderilir

Güvenlik açıklarını bize e-posta yoluyla [email protected] adresine gönderebilirsiniz.

E-postanızda hangi güvenlik açığını bulduğunuzu kısaca belirtin. E-postanıza özellikle aşağıdakileri ekleyin:

  • Hangi sistem açığı
  • Yüklendiğiniz görevler
  • URL'nin tamamı
  • Nesneler (filtreler veya giriş alanları olarak) dâhil
  • Ekran görüntüleri ve ekran videoları çok takdir edilmektedir
  • Hata raporunda IP adresinizi belirtin, bu adres gizli tutulacak ve test faaliyetlerinizi izlemek ve bizim tarafımızdan günlükleri incelemek için kullanılacaktır
  • Bulunan sorunu olabildiğince açık ve ayrıntılı bir şekilde tarif edin ve elinizdeki tüm kanıtları sunun. Bildiriminizin uzmanlara iletileceğini varsayabilirsiniz

Kurallar

Sorumluluk alın ve son derece dikkatli ve tedbirli hareket edin. Konuyu araştırırken, yalnızca sistem açıklarını bulmak veya göstermek için gerekli olan yöntem veya teknikleri kullanın

  • Etik bir hacker olup diğer kullanıcıların gizliliğine saygı gösterin
  • Keşfettiğiniz sistem açıklarını kendi araştırmanız dışında başka amaçlar için kullanmayın
  • Sistem açıklarını Cryptohopper'dan sonra başka taraflara ifşa etmeyin, kamuya veya üçüncü şahıs veya kuruluşlara ifşa etmeden önce sorunu çözmemiz için bize makul bir süre tanıyın
  • Sosyal mühendisliği bir sisteme erişim sağlamak için kullanmayın
  • Bir sistemin güvenlik açığını göstermek için bile olsa, herhangi bir "arka kapı" kurulumu yapmayın. Arka kapılar sistemlerin güvenliğini tehlikeye atacaktır
  • Sistemdeki hiçbir bilgiyi değiştirmeyin veya silmeyin. Soruşturmanız için bilgileri kopyalamanız gerekiyorsa, asla ihtiyacınız olandan fazlasını kopyalamayın. Bir kayıt yeterliyse, daha ileri gitmeyin
  • Sistemi hiçbir şekilde değiştirmeyin
  • Bir sistem içine yalnızca kesinlikle gerekliyse sızın. Bir sistemin içine sızmayı başarırsanız, bu erişimi ve erişim bilgilerini asla başkalarıyla paylaşmayın
  • Sistemlere erişim sağlamak için parolaları tekrar tekrar girmek gibi kaba kuvvet tekniklerini kullanmayın
  • Kendi sistemlerinizi mümkün olduğunca sıkı bir şekilde güvence altına alın

Ödüller

Ödül sistemimizde esnekliği koruyoruz ve minimum/maksimum miktarımız yoktur; ödüller ciddiyet, etki ve rapor kalitesine dayanmaktadır. Ödül almak için, yaptırım listelerinde olmayan bir ülkede (örneğin, Küba, İran, Kuzey Kore, Sudan ve Suriye) ikamet etmelisiniz. Bu takdire bağlı bir programdır ve Cryptohopper programı iptal etme hakkını saklı tutar; ödül ödeyip ödememe kararı bizim takdirimize bağlıdır

Ek hususlar:

  • Mükerrer raporlar olduğunda, yalnızca ilk aldığımız raporu ödüllendiriyoruz
  • Altta yatan tek bir sorunun neden olduğu birden fazla sistem açığı tek bir ödülle ödüllendirilecektir
  • Mühendislerimiz raporunuzdaki güvenlik açığını yeniden üretebilmelidir. Çok belirsiz veya net olmayan raporlar ödül için uygun değildir. Açıkça yazılmış açıklamalar ve çalışma kodu içeren raporların ödül kazanma olasılığı daha yüksektir
S.S.S.
Sıkça sorulan sorular
Cryptohopper, sistemlerimizi ve süreçlerimizi güvence altına almamıza yardımcı olmak için gösterdiğiniz çabayı çok takdir ediyor. Etkisine bağlı olarak, ödülü biz belirleyeceğiz. Ödül her zaman parasal olmayıp Cryptohopper aboneliği şeklinde de olabilir
BT sistemlerimizdeki veya araştırmanızdaki sistem açıklarını önce bize danışmadan asla kamuoyuna açıklamayın. Suçluların bilgilerinizi kötüye kullanmasını önlemek için birlikte çalışabiliriz. Lütfen güvenlik uzmanlarımıza danışın ve sorunu çözmemiz için bize zaman tanıyın
Evet, bildirebilirsiniz. Bir sistem açığını bildirirken bize adınızı ve iletişim bilgilerinizi vermek zorunda değilsiniz. Ancak bu durumda, raporunuz hakkında ne yapacağımız, daha fazla işbirliği veya size bir ödül gönderme gibi takip önlemleri hakkında size danışamayacağımızı lütfen unutmayın.
Lütfen güvenlik sorunlarını, Güvenlik Ödül Programı belgelerinde verilen PGP anahtarını kullanarak [email protected] adresine gönderin

Feragatnâme: Cryptohopper belli kural veya yasalara göre idare edilen bir kuruluş değildir. Kripto paraların bot üzerinden alım satımı önemli riskler içerir, ayrıca bir kripto paranın geçmiş performansı gelecekteki sonuçlarının göstergesi değildir. Ürün ekran görüntülerinde gösterilen kârlar tamamen açıklama amaçlıdır ve abartılı olabilir. Yalnızca yeterli bilgiye sahipseniz veya nitelikli bir finansal danışmandan rehberlik alıyorsanız Bot yoluyla alım satıma girişmelisiniz. Cryptohopper hiçbir koşul altında, (a) tamamen veya kısmen, yazılımımızın dahil olduğu işlemlerden kaynaklanan veya bunlarla bağlantılı olarak ortaya çıkan herhangi bir kayıp ya da hasar, veya (b) doğrudan, dolaylı, özel, sonuç olarak ortaya çıkan veya arızi zararlar için herhangi bir kişi veya kuruluşa karşı herhangi bir sorumluluğu kabul etmeyecektir. Cryptohopper sosyal alım satım platformunda bulunan içeriğin sadece Cryptohopper topluluğunun üyeleri tarafından oluşturulduğunu ve Cryptohopper firması tarafından yapılmış veya onun adına tavsiye veya öneri teşkil etmediğini lütfen unutmayın. Pazar yerinde gösterilen kârlar gelecekteki elde edilecek sonuçların bir göstergesi değildir. Cryptohopper'ın hizmetlerini kullanarak, kripto para birimi alım satımının doğasında bulunan riskleri kabul etmiş ve ayrıca Cryptohopper'ı ortaya çıkacak her türlü yükümlülük veya zarardan muaf tutmayı da kabul etmiş oluyorsunuz. Yazılımımızı kullanmadan veya herhangi bir alım satım faaliyetinde bulunmadan önce, Hizmet Şartlarımızı ve Risk Bilgilendirme Politikamızı gözden geçirmek ve anlamak çok önemlidir. Özel koşullarınıza göre kişiselleştirilmiş tavsiyeler için lütfen konuyla ilgili deneyim ve uzmanlık sahibi hukuk ve finans uzmanlarına danışın.

©2017 - 2023 Telif hakkı Cryptohopper™'a aittir - Tüm hakları saklıdır.