Programma Bug Bounty
Bankera mette sempre al primo posto la sicurezza dei fondi dei suoi clienti: il nostro Team di Sicurezza Informatica lavora senza sosta per individuare eventuali vulnerabilità nei nostri sistemi. Tuttavia, esiste sempre una minima possibilità che alcuni errori persistano. Per questo motivo abbiamo deciso di lanciare un programma di Bug Bounty che permette alla nostra comunità di lavorare fianco a fianco con Bankera e aiutare a mantenere i nostri servizi sicuri, protetti e di alta qualità.
Ricompense
I premi vengono distribuiti in base alla gravità della vulnerabilità segnalata. Bankera non ha prestabilito una ricompensa massima per i bug segnalati: se trovi un problema critico sulla nostra piattaforma, la ricompensa sarà aumentata di conseguenza. Tuttavia, per visualizzare il quadro generale, puoi trovare le linee guida per la distribuzione delle ricompense nella tabella sottostante. La determinazione della criticità è esclusivamente a nostra discrezione.
I premi vengono assegnati in base a:
Qualità della descrizione
Potrebbero essere assegnati premi maggiori per segnalazioni di bug chiare ed estese.Qualità della prova concetto
Potrebbero essere assegnati premi maggiori per segnalazioni contenenti script, codice di test e istruzioni dettagliate.La qualità della correzione, se inclusa
Potrebbero essere assegnati premi maggiori per le segnalazioni contenenti suggerimenti su come risolvere il problema.
Bug e ricompensa
Critico
$4,000 - $15,000
Alto
$1,000 - $4,000
Medio
$200 - $1,000
Basso
fino a $200
Solo le vulnerabilità sconosciute e precedentemente non segnalate vengono prese in considerazione per i premi.
Premiamo per la scoperta di un solo bug. Se vengono inviate più segnalazioni per la stessa vulnerabilità, solo la prima verrà ricompensata.
Per ricevere una ricompensa, non deve esservi alcun ostacolo giuridico (ad esempio, non puoi partecipare a questo programma se sei un residente o un individuo situato in un paese soggetto a sanzioni internazionali, inclusi ma non limitati a CE, GAFI, USA, ONU).
In ogni caso Bankera ha la facoltà di determinare una vulnerabilità segnalata come insignificante, inclusa la sua idoneità al premio. Segnalando un bug, accetti di seguire le regole sopra riportate.
Come segnalare un bug
Le segnalazioni di bug devono essere presentate con una dimostrazione dettagliata che ci consente di riprodurre e valutare il problema. Ad esempio, un rapporto che spiega un errore relativo al Web dovrà contenere almeno:
- Richieste e risposte HTTP insieme ai parametri interessati
- Schermate o video (se necessari)
- Descrizione del browser, del sistema operativo, e del dispositivo
- Descrizione dell'impatto percepito dalla vulnerabilità
- Suggerimenti su come risolvere il problema (se possibile)
Non pubblicare pubblicamente file e /o dettagli relativi alla vulnerabilità. Ciò include il caricamento su siti Web accessibili al pubblico (ad esempio YouTube, Imgur, Pastebin, ecc.).
E' necessario crittografare il messaggio e tutti gli allegati utilizzando la nostra Chiave Pubblica PGP (disponibile di seguito).
Invia il tuo report di vulnerabilità a [email protected].
Se il nostro Team di Sicurezza Informatica non è in grado di riprodurre e verificare il bug, il premio non sarà assegnato.
Bug idonei
Le vulnerabilità riscontrate durante l'utilizzo dei servizi Bankera sono idonei per il programma Bug Bounty, incluso il sito Web di Bankera e la piattaforma di internet banking. In generale, la segnalazione di bug che potrebbero potenzialmente causare perdite finanziarie o violazione dei dati sono considerati di gravità sufficiente per essere premiate. Questi includono:
- Falsificazione di Richieste tra Siti (Cross-Site Request Forgery - CSRF)
- Cross-Site Scripting (XSS)
- Iniezione di Codice (Code Injection)
- Esecuzione Remota di Codice (Remote Code Execution)
- Escalation dei Privilegi (Privilege Escalation)
- Bypass di Autenticazione (Authentication Bypass)
- Clickjacking
- Perdita di Dati Sensibili (Leakage of Sensitive Data)
Bug non idonei
Generalmente, le seguenti vulnerabilità non soddisfano la soglia di gravità e quindi non premiabili:
- Mancanza di DNSSEC
- Iniezioni di intestazione host senza impatto specifico e dimostrabile
- Exploit basati su Flash
- CSRF su moduli che non richiedono autenticazione o azioni non sensibili
- Clickjacking su pagine senza azioni sensibili
- Le vulnerabilità che richiedo attacchi Man-in-the-middle (MITM), o accesso fisico a un browser, account di posta elettronica, smartphone di un utente o problemi con dispositivi rooted o jailbroken.
Divulgazione responsabile
La divulgazione responsabile include ma non è limitata a:
Fornendoci un ragionevole lasso di tempo per risolvere il problema prima di pubblicarlo altrove.
Non è permesso la violazione della privacy di altri utenti, distruzione dei dati, interruzione dei servizi ecc. (Agisci in buona fede).
Non frodare gli utenti Bankera (non interagire con un conto personale che include la modifica o l'accesso ai dati del conto) o Bankera stessa nel processo di scoperta.
Per gli exploit che richiedono l'accesso al conto, è necessario utilizzare il proprio conto.
Se accedi inavvertitamente ai dati privati, ti chiediamo di eliminarli tutti ma non limitarti a codici di accesso, dati privati e così via, dopo averci informato.
Se in caso di bug, sei stato in grado di accedere e / o spostare fondi da Bankera, ti impegni a restituire l'intero importo a Bankera.
* Al fine di incoraggiare una divulgazione responsabile, non intraprenderemo azioni legali contro i ricercatori che segnalano un problema a condizione che facciano del loro meglio per seguire le linee guida sopra riportate.
