برنامج Bug Bounty (مكافأة اكتشاف الثغرات الأمنية)

أبلغ عن ثغرة

دائمًا تضع Bankera أمن أموال عملائها في المقام الأول: ففريق الأمن السيبراني لدينا يعمل دائماً بلا كلل أو ملل لاكتشاف أي نقاط ضعف محتملة في أنظمتنا. ومع ذلك هناك دائمًا احتمال ضئيل بأن بعض الأخطاء قد تستمر. لذلك قررنا إطلاق برنامج مكافأة الأخطاء الذي سيسمح لمجتمعنا بالعمل مع Bankera والمساعدة في الحفاظ على خدماتنا آمنة وعالية الجودة.

المكافئات

يعتمد توزيع المكافآت على مستوى شدة الثغرة المبلغ عنها. Bankera لم تحدد حدًا أقصى للمكافآت للأخطاء المبلغ عنها - إذا وجدت مشكلة خطيرة على نظامنا الأساسي ، فسيتم زيادة المكافأة لذلك. على أية حال ولشرح أوسع ستجد قواعد توزيع المكافآت في الجدول أدناه. يبقى تحديد المكافأة النهائية وفقًا لتقديرنا فقط.

يتم توزيع المكافآت على أساس:
- جودة الوصف
  قد يتم تخصيص مكافآت أكبر لتقارير مكافآت الأخطاء الواضحة والشاملة.
- دليل على طبيعة الثغرة
  قد يتم تخصيص مكافآت أكبر إذا تضمن تقرير الخطأ نصوصًا برمجية واختبار التعليمات البرمجية بالإضافة إلى إرشادات مفصلة.
- جودة الحل، إذا تم تضمينها
  قد يتم تخصيص مكافآت أكبر إذا كان تقرير الخطأ يقدم اقتراحات لإصلاح المشكلة.

الثغرة الأمنية والمكافأة
- خطير
  $4,000 - $15,000
- عالي
  $1,000 - $4,000
- وسط
  $200 - $1,000
- منخفض
  حتى 200$

المكافأت صالحة فقط للثغرات الأمنية الغير المعروفة والتي لم يتم الإبلاغ عنها سابقًا.
نحن نقدم مكافأة واحدة فقط لكل خطأ. إذا تم تقديم عدة تقارير لنفس الثغرة الأمنية ، فسنكافئ المرسل الأول فقط.
للحصول على المكافأة ، يجب ألا يكون هناك عائق قانوني للقيام بذلك (على سبيل المثال لا يجوز لك المشاركة في هذا البرنامج إذا كنت مقيمًا أو فردًا مقيمًا داخل بلد يخضع لعقوبات دولية بما في ذلك على سبيل المثال لا الحصر عقوبات من EC و FATF و الولايات المتحدة ، الأمم المتحدة.)
بكل الأحول تحتفظ Bankera بحق تقدير الثغرة التي يتم الإبلاغ عنها على أنها ثغرة غير مهمة، و أهليتها للحصول على المكافأة. بإرسال الخلل ، فإنك توافق على اتباع القواعد المذكورة أعلاه.

كيف تبلغ عن ثغرة

يجب تقديم تقارير الأخطاء مع إثبات مفصل خطوة بخطوة للمفهوم الذي سيساعدنا في إعادة إنتاج المشكلة وتقييمها. على سبيل المثال ، يجب أن يحتوي التقرير الذي يشرح خطأً متعلقًا بالويب على الأقل على:
- طلبات HTTP واستجاباتها مع المتغيرات المتأثرة
- مقاطع الفيديو أو لقطات الشاشة (إذا لزم الأمر)
- وصف المتصفح (النوع) ونظام التشغيل والجهاز
- وصف التأثير المتوقع من الثغرة
- اقتراحات حول كيفية حل المشكلة (إن أمكن)
لا تشارك علنًا أي ملفات و / أو تفاصيل ذات صلة بالخطأ الذي تم العثور عليه . يتضمن ذلك النشر على منصات متاحة للعلن (مثل YouTube ، Imgur ، Pastebin ، إلخ).
قم بتشفير التقرير وأي مرفقات ضرورية باستخدام مفتاح PGP العام الخاص بنا (المتوفر أدناه).
أرسل تقارير الأخطاء إلى [email protected].

إذا كان فريق الأمن السيبراني لدينا غير قادر على إعادة إنتاج الخطأ والتحقق منه ، فلن يتم دفع المكافأة.

المفتاح العام لـ PGP:

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SfEx

أبلغ عن ثغرة

الثغرات المؤهلة

نقاط الضعف الموجودة في أي من خدمات Bankera تخضغ لبرنامج صيد الثغرات bug Bounty ، بما في ذلك موقع Bankera ومنصة صرافته على الإنترنت. بشكل عام يعتبر الإبلاغ عن الأخطاء التي قد تؤدي إلى خسارة مالية أو خرق للبيانات خطير بشكل كافي ليتم منحه مكافآت. وهذا قد يشمل:
- التزوير عبر الموقع(CSRF)Cross-Site Request Forgery (CSRF)
- حقن الكود Cross-Site Scripting (XSS)
- حقن الكود Code Injection
- البرمجة النصية عبر المواقع Remote Code Execution
- تجاوز الصلاحيات Privilege Escalation
- تجاوز المصادقة
- clickjacking هجوم واجهة المستخدم
- تسريب البيانات الحساسة

ثغرات غير مؤهلة

على العموم المشكلات التالية لا تعتبر خطيرة كفايةً ولهذا فهي غير مؤهلة للحصول على مكافآت:
- عدم وجود DNSSEC
- استضافة حقول رأس البرتكول لنقل النص التشعبي (Host header injections) بدون تأثير محدد يمكن إثباته
- خلل قائم على الـ Flash
- CSRF في النماذج التي لا تتطلب مصادقة أو على إجراءات غير حساسة
- Clickjacking على الصفحات دون أنشطة حساسة
- نقاط الضعف التي تتطلب Man-in-the-middle attack (MITM) ، أو الوصول إلى متصفح الويب الخاص بالمستخدم وحساب البريد الإلكتروني والهاتف الذكي والمشكلات الموجودة على الأجهزة التي تم كسر حمايتها (rooted/jailbroken devices).

الإفصاح المسؤول

يشمل الإفصاح المسؤول على سبيل المثال لا الحصر:

منحنا فترة زمنية معقولة لإصلاح المشكلة قبل نشرها في مكان آخر.
عدم انتهاك خصوصية المستخدمين الآخرين أو إتلاف أي بيانات أو تعطيل خدماتنا وما إلى ذلك (التصرف بحسن نية).
عدم الاحتيال على مستخدمي Bankera (لا تتفاعل مع حساب فردي وذلك يتضمن تعديل بيانات الحساب أو الوصول إليها) أو Bankera نفسها في عملية الاكتشاف.
بالنسبة إلى عمليات الاختراق التي تحتاج إلى وصول إلى حساب ، يجب عليك استخدام حسابك الخاص.
إذا قمت عن غير قصد بالوصول إلى بيانات خاصة، فإننا نطلب منك حذف جميع المعلومات ذات الصلة ، بما في ذلك على سبيل المثال لا الحصر رموز الوصول والبيانات الخاصة وما إلى ذلك ، بعد إبلاغنا.
إذا كنت قادرًا في حالة وجود خطأ على الوصول و / أو نقل الأموال من Bankera ، فإنك تلتزم بإعادة المبلغ بالكامل إلى Bankera.

* لتشجيع الإفصاح المسؤول ، لن نبدأ إجراءات قانونية ضد الباحثين الذين يشيرون إلى مشكلة بشرط أن يبذلوا قصارى جهدهم لاتباع الإرشادات المذكورة أعلاه.

وجدت أي ثغرة؟

أبلغ عن ثغرة

النظام البيئي

برنامج Bug Bounty (مكافأة اكتشاف الثغرات الأمنية)

المكافئات

يتم توزيع المكافآت على أساس:

الثغرة الأمنية والمكافأة

كيف تبلغ عن ثغرة

الثغرات المؤهلة

ثغرات غير مؤهلة

الإفصاح المسؤول

وجدت أي ثغرة؟

الحلول

الشركة

النظام البيئي

المجتمع

عن شركتنا

API