Programme Bug Bounty

Bankera accorde toujours la priorité à la sécurité des fonds de ses clients: notre équipe de cybersécurité travaille sans relâche pour détecter les éventuelles vulnérabilités de nos systèmes. Cependant, il existe toujours une possibilité minime que certaines erreurs persistent. Par conséquent, nous avons décidé de lancer un programme de bug bounty qui permettrait à notre communauté de travailler main dans la main avec Bankera et d'aider à maintenir nos services sûrs, sécurisés et de haute qualité.

Récompenses

Les primes sont distribuées en fonction de la gravité de la vulnérabilité signalée. Bankera n'a pas fixé de récompense maximale pour les bogues signalés - si vous trouvez un problème critique sur notre plate-forme, la prime sera augmentée en conséquence. Cependant, pour avoir une vue d'ensemble, retrouvez les directives de distribution des récompenses dans le tableau ci-dessous. La détermination de la prime finale reste à notre entière discrétion.

  • Les récompenses sont attribuées en fonction:

    • Qualité de la description
      Des primes plus importantes peuvent être allouées pour des rapports de primes de bugs clairs et détaillés.

    • Preuve de la qualité du concept
      Des primes plus importantes peuvent être allouées si le rapport de bug comprend des scripts, des test de code, ainsi que des instructions détaillées.

    • Corriger la qualité, si inclus
      Des primes plus importantes peuvent être allouées si le rapport de bug fournit des suggestions pour résoudre le problème.

  • Bug et récompense

    • Critique

      $4,000 - $15,000

    • Élevé

      $1,000 - $4,000

    • Moyen

      $200 - $1,000

    • Faible

      jusqu'à 200 $

Seules les vulnérabilités inconnues et non signalées précédemment sont prises en compte pour les récompenses.
Nous ne récompensons qu'une seule prime par bug. Si plusieurs rapports sont soumis pour la même vulnérabilité, nous récompenserons uniquement le premier rapporteur.
Pour recevoir une récompense, il ne doit y avoir aucun obstacle juridique à le faire (par exemple, vous ne pouvez pas participer à ce programme si vous êtes un résident ou un individu situé dans un pays soumis à des sanctions internationales, y compris, mais sans s'y limiter, la CE, le GAFI, US, UN.
Dans tous les cas, Bankera a le pouvoir discrétionnaire de déterminer une vulnérabilité signalée comme insignifiante, y compris son admissibilité à la récompense. En soumettant un bug, vous acceptez de suivre les règles ci-dessus.

Comment signaler un bug

  • Les rapports de bugs devraient être présentés avec une preuve de concept détaillée étape par étape qui nous aiderait à reproduire et à évaluer le problème. Par exemple, un rapport qui explique une erreur liée au Web doit contenir au moins:

    • Requêtes HTTP et réponses avec les paramètres concernés
    • Vidéos ou captures d'écran (si nécessaire)
    • Description du navigateur (type), du système d'exploitation et de l'appareil
    • Description de l'effet perçu du bug
    • Suggestions sur la façon de résoudre le problème (si possible)
  • Ne partagez pas publiquement les fichiers et / ou les détails relatifs au bug trouvé. Cela inclut les téléchargements sur toutes les plates-formes accessibles au public (par exemple, YouTube, Imgur, Pastebin, etc.)

  • Cryptez le rapport et toutes les pièces jointes nécessaires avec notre clé publique PGP (disponible ci-dessous).

  • Envoyez vos rapports de bugs à [email protected].

Si notre équipe de cybersécurité est incapable de reproduire et de vérifier le bug, la prime ne sera pas attribuée.

boîte de bug
Reporter une erreur

Bugs éligibles

  • Les vulnérabilités trouvées dans l'un des services Bankera sont éligibles pour le programme de prime aux bugs, y compris le site Web de Bankera et la plate-forme bancaire en ligne. En général, le signalement de bugs susceptibles d'entraîner une perte financière ou une violation de données est considéré comme suffisamment grave pour être attribué. Ceux-ci peuvent inclure:

    • Falsification de requêtes inter-sites (CSRF)
    • Scripts inter-sites (XSS)
    • Injection de code
    • Exécution de code à distance
    • Escalade de privilèges
    • Contournement d'authentification
    • Détournement de clic
    • Fuite de données sensibles

Bugs non éligibles

  • En règle générale, les problèmes suivants ne sont pas considérés comme suffisamment graves et ne donnent donc pas droit à des récompenses:

    • Absence de DNSSEC
    • Injections d'en-tête d'hôte sans impact spécifique et démontrable
    • Exploits basés sur Flash
    • CSRF sur les formulaires ne nécessitant aucune authentification ou sur des actions non sensibles
    • Détournement de clic sur les pages sans actions sensibles
    • Vulnérabilités qui nécessitent une attaque Man-in-the-middle (MITM), ou un accès physique au navigateur Web, au compte de messagerie, au smartphone et aux problèmes d'un utilisateur sur les appareils rootés / jailbreakés.

Divulgation responsable

La divulgation responsable comprend, mais sans s'y limiter:

  • Nous donner un délai raisonnable pour résoudre le problème avant de le publier ailleurs.

  • Non-violation de la vie privée des autres utilisateurs, destruction de données ou perturbation de nos services, etc. (Agir de bonne foi).

  • Ne pas frauder les utilisateurs de Bankera (ne pas interagir avec un compte individuel qui comprend la modification ou l'accès aux données du compte) ou Bankera lui-même en cours de découverte

  • Pour les exploits nécessitant un accès à un compte, vous devez utiliser votre propre compte.

  • Si vous accédez par inadvertance à des données privées, nous vous demandons de supprimer toutes les informations associées, y compris, mais sans s'y limiter, les codes d'accès, les données privées, etc., après nous en avoir informé.

  • Si, en cas de bug, vous avez pu accéder et / ou déplacer des fonds de Bankera, vous vous engagez à restituer l'intégralité du montant à Bankera.

* Pour encourager une divulgation responsable, nous n'allons pas engager de poursuites judiciaires contre les chercheurs qui signalent un problème à condition qu'ils fassent de leur mieux pour suivre les directives ci-dessus.

dossier de fichiers

Vous avez trouvé des bugs?

Reporter une erreur