Surask klaidą programa
Bankera visada teikia pirmenybę savo klientų lėšų saugumui. Mūsų kibernetinio saugumo komanda nenuilstamai stengiasi aptikti galimas mūsų sistemų spragas, tačiau visada egzistuoja minimali galimybė, kad kai kurios klaidos vis tiek gali likti nepastebėtos. Dėl šios priežasties nusprendėme pradėti Surask klaidą programą, kuri leistų mūsų bendruomenei dirbti kartu su Bankera ir padėtų išlaikyti paslaugas saugias bei kokybiškas.
Atlygis
Atlygis paskirstomas atsižvelgiant į pranešamo pažeidžiamumo sunkumą. Bankera nėra nustačiusi maksimalaus atlygio už praneštus saugumo pažeidimus. Didesni atlygiai gali būti skiriami priklausomai nuo praneštų pažeidžiamumų sunkumo laipsnio. Pateikti atlygiai yra preliminarūs. Galutinė suma išlieka mūsų nuožiūroje.
Atlygis taikomas pagal:
Aprašymo kokybė
Didesnis atlygis gali būti mokamas aiškioms ir išsamioms klaidų ataskaitoms.Įrodymo pagrindimo kokybė
. Didesnis atlygis gali būti mokamas, jei pridedamas testavimo kodas, rašytiniai pagrindimai ir išsamios instrukcijos.Pataisymo kokybė
Didesnis atlygis gali būti mokamas, jei pateikiami pasiūlymai, kaip išspręsti problemą.
Klaida ir atlygis
Kritinė
$4,000 - $15,000
Svarbi
$1,000 - $4,000
Vidutinė
$200 - $1,000
Nesvarbi
iki $200
Atlygis išmokamas tik už nežinomus ir anksčiau neužfiksuotus pažeidžiamumus. Už vieną klaidą išmokame tik vieną atlygį. Jeigu apie tą pačią klaidą buvo pranešta kelis kartus, atlygį gali gauti tik pirmasis apie ją pranešęs (žiūrėti skiltį „Kaip pranešti apie klaidą“). Norint gauti atlygį, tam neturi būti jokių teisinių kliūčių (pvz., jūs negalite dalyvauti šioje programoje, jei esate pilietis arba gyvenate šalyje, kuri yra tarptautinių sankcijų sąraše, įskaitant, bet neapsiribojant EB, FATF, JAV, JT). Bet kokiu atveju, Bankera pasilieka teisę praneštą pažeidžiamumą nustatyti kaip nereikšmingą, įskaitant jo tinkamumą į atlygį. Pranešdami klaidą, jūs sutinkate laikytis nurodytų taisyklių.
Kaip pranešti apie klaidą
Pranešime apie klaidą turi būti pateikti išsamūs nurodymai, kurie leistų mums atkartoti ir įvertinti problemą. Pavyzdžiui, su svetaine susijusių pažeidžiamumų ataskaitoje turėtų būti bent jau:
- HTTP nuorodos ir paveikti parametrai
- Ekrano nuotraukos arba vaizdo įrašai (jei reikalingi)
- Naršyklės (tipas), OS, įrenginio ir (arba) programos versijos aprašas
- Pažeidimo poveikio sistemai apibūdinimas
- Pasiūlymai, kaip išspręsti problemą (neprivaloma)
Neskelbkite viešai jokių failų ir (arba) informacijos, susijusios su pažeidžiamumu. Tai apima įkėlimą į visas viešai prieinamas svetaines (pvz., YouTube, Imgur ir t.t.).
Prašome užšifruoti savo pranešimą ir jo priedus su mūsų viešuoju PGP raktu (pateiktas žemiau).
Išsiųskite savo klaidos pranešimą į [email protected]
Jei mūsų IT komanda negalės atkurti ir patikrinti problemos, atlygis nebus išmokamas.
Tinkamas (atlygis taikomas)
Surask klaidą programa tinkama pranešti apie klaidas ar pažeidžiamumus, rastus bet kuriame Bankera puslapyje, įskaitant internetinės bankininkystės platformą ir internetinę svetainę. Pranešimai apie klaidas, galinčias pridaryti Bankera finansinių nuostolių ar virsti duomenų saugumo pažeidimais, yra laikomi pakankamai svarbiais, kad būtų apdovanoti. Į šią kategoriją patenka:
- Vieno spragtelėjimo ataka ar sesijos užvaldymas (Cross-Site Request Forgery (CSRF))
- Kryžminė svetainės ataka (Cross-Site Scripting (XSS))
- Kodo injekcija (Code Injection)
- Nuotolinis kodo valdymas (Remote Code Execution)
- Privilegijos eskalavimas (Privilege Escalation)
- Autentifikavimo sistemos apėjimas (Authentication Bypass)
- Vartotojo sąsajos ataka (Clickjacking)
- Jautrių duomenų nutekinimas (Leakage of Sensitive Data)
Netinkamas (atlygis netaikomas)
Šios klaidos ir pažeidžiamumai nepatenka į apmokamų klaidų kategoriją:
- DNSSEC stoka (Lack of DNSSEC)
- Svetainės antraštės injekcijos be konkretaus ar akivaizdaus poveikio (Host header injections without a specific and demonstrable impact)
- „Flash“ eksploitai (Flash based exploits)
- CSRF anketose, kurioms nereikia autentifikavimo, arba kurių pildymas nereikalauja jokių „jautrių“ veiksmų (CSRF on forms that require no authentication or on non sensitive actions)
- Vartotojo sąsajos ataka puslapiuose, kurie nereikalauja jokių „jautrių“ veiksmų (Clickjacking on pages with no sensitive actions)
- Pažeidžiamumai, kurie reikalauja MITM atakos, kai įsiterpiama į dviejų pusių bendravimą, joms to nežinant, ar fizinės prieigos prie vartotojo naršyklės, el. pašto paskyros, išmaniojo telefono ir problemos, susijusios su įsišaknijusiais / nulaužtais įrenginiais (Vulnerabilities that require Man-in-the-middle attack (MITM), or physical access to a user’s web browser, email account, smartphone and issues on rooted/jailbroken devices)
Atsakingas informacijos atskleidimas
Atlygio suma gali būti padidinta remiantis:
Suteikti mums užtektinai laiko išspręsti problemą prieš jos paskelbimą kitur.
Nepažeisti kitų klientų privatumo - nenaikinti sistemos duomenų ir netrikdyti paslaugų vykdymo ir t.t. (veikti sąžiningai).
Neapgaudinėti Bankera vartotojų (nesąveikauti su individualiomis paskyromis, įskaitant pakeitimus ar prieigą prie duomenų iš paskyros) ar Bankera klaidos atradimo proceso metu.
Ieškodami klaidų, kurios yra susijusios su prieiga prie paskyros, turite naudoti savo paskyrą.
Jeigu sugebėsite pasiekti privačius duomenis, prašome pranešti mums ir ištrinti visą susijusią informaciją, įskaitant, bet neapsiribojant, prieigos kodus, asmeninius duomenis ir t. t.
Jei radote klaidą, kuri leido jums pasiekti ir / ar perkelti lėšas iš Bankera, jūs įsipareigojate grąžinti mums visą sumą.
* Siekdami paskatinti atsakingą atskleidimą, mes nesiimsime teisinių veiksmų prieš programos dalyvius, kurie nurodo problemą bei laikosi aukščiau nurodytų gairių.
