Ievainojamību atklāšanas atlīdzību programma

Bankera vienmēr galveno uzmanību pievērš klientu līdzekļu drošībai: mūsu kiberdrošības komanda nenogurstoši strādā, lai pamanītu jebkādas iespējamās mūsu sistēmu vājās vietas. Tomēr pastāv maza iespēja, ka dažas kļūdas joprojām var pastāvēt. Tāpēc mēs nolēmām uzsākt ievainojamību atklāšanas atlīdzības programmu, kas ļautu mūsu kopienai strādāt roku rokā ar Bankera un palīdzētu uzturēt mūsu pakalpojumus drošus un kvalitatīvus.

Atlīdzība

Atlīdzība tiek sadalīta atkarībā no ziņotās ievainojamības smaguma pakāpes. Bankera nav noteikusi maksimālo atlīdzību par ziņotajām kļūdām - ja mūsu platformā atradīsiet kritisku problēmu, atlīdzība attiecīgi tiks palielināta. Tomēr, lai redzētu kopainu, atrodiet atlīdzības dalīšanas vadlīnijas zemāk esošajā tabulā. Galīgā atlīdzība tiks noteikta tikai pēc mūsu ieskatiem.

  • Atlīdzība tiek piešķirta pamatojoties uz:

    • Apraksta kvalitāte
      Lielāka atlīdzība var tik piešķirta par skaidriem un detalizētiem kļūdu ziņojumiem.

    • Pierādījuma pamatojuma kvalitāte
      Lielāka atlīdzība var tik piešķirta, ja kļūdu pārskatā ir iekļauti rakstiski pamatojumi, testēšanas kods un detalizētas instrukcijas.

    • Izlabošanas kvalitāte, ja tā ir iekļauta
      Lielāka atlīdzība var tik piešķirta, ja kļūdu pārskatā ir sniegti ieteikumi problēmas novēršanai.

  • Ievainojamība un atlīdzība

    • Kritiska

      $4,000 - $15,000

    • Svarīga

      $1,000 - $4,000

    • Vidēja

      $200 - $1,000

    • Nenozīmīga

      līdz $200

Tikai nezināmas un iepriekš nepaziņotas ievainojamības tiek uzskatītas par atlīdzināmām.
Atlīdzība tiek izmaksāta tikai par vienu atklātu kļūdu. Ja par vienu un to pašu ievainojamību tiek iesniegti vairāki ziņojumi, mēs atlīdzināsim tikai pirmajam reportierim.
Lai saņemtu atlīdzību, nedrīkst pastāvēt nekādi juridiski šķēršļi (piemēram, jūs nedrīkstat piedalīties šajā programmā, ja esat pastāvīgais iedzīvotājs vai fiziska persona, kas atrodas valstī, uz kuru attiecas starptautiskās sankcijas, tostarp, bet neaprobežojoties ar EK, FATF, ASV, ANO.)
Jebkurā gadījumā Bankera platformai ir rīcības brīvība noteikt paziņoto ievainojamību kā nenozīmīgu, ieskaitot tās atbilstību atlīdzībai. Iesniedzot kļūdu, jūs piekrītat ievērot iepriekš minētos noteikumus.

Kā ziņot par kļūdu

  • Kļūdu ziņojumā ir jāiesniedz detalizēts pakāpenisks pierādījuma pamatojums, kas palīdzēs mums atveidot un novērtēt problēmu. Piemēram, ar vietni saistītās ievainojamības pārskatā būtu jāiekļauj vismaz:

    • HTTP pieprasījumi un atbildes kopā ar ietekmētajiem parametriem
    • Videoklipi vai ekrānuzņēmumi (ja nepieciešams)
    • Pārlūkprogrammas (veida), operētājsistēmas un ierīces apraksts
    • Kļūdas ietekmes uz sistēmu apraksts
    • Ieteikumi problēmas risināšanai (ja ir iespēja)
  • Nepubliskojiet ar ievainojamību saistītus failus un/vai informāciju. Tas ietver augšupielādes visās publiski pieejamās platformās (t.i., YouTube, Imgur, Pastebin utt.).

  • Šifrējiet pārskatu un visus nepieciešamos pielikumus, izmantojot mūsu PGP publisko atslēgu (pieejama zemāk).

  • Nosūtiet savu kļūdas ziņojumu uz [email protected].

Ja mūsu IT komanda nespēs reproducēt vai verificēt kļūdu, atlīdzība netiks izmaksāta.

kļūdu kaste
Ziņot par kļūdu

Pieņemamas kļūdas

  • Jebkurā no Bankera pakalpojumiem atklātās ievainojamības ir pieņemamas ievainojamību atklāšanas atlīdzības programmā, ieskaitot Bankera piezemēšanās lapu un internetbankas platformu. Ziņošana par kļūdām, kas var izraisīt finansiālus zaudējumus vai datu pārkāpumu, tiek uzskatīta par pietiekami nopietnu, lai to atlīdzinātu. Šajā kategorijā ietilpst:

    • Uzbrukums datoru sistēmai, kurā uzbrucējs veic darījumu tīmekļa lietojumprogrammā (CSRF)
    • Starpvietņu skriptošana (XSS)
    • Koda injekcija
    • Attālā koda izpilde
    • Privilēģiju eskalācija
    • Autentifikācijas apvedceļš
    • Klikšķu laupīšana
    • Sensitīvu datu noplūde

Nepieņemamas kļūdas

  • Parasti sekojošās problēmas neuzskata par pietiekami nopietnām un tādējādi tās nevar pretendēt uz atlīdzību:

    • DNSSEC trūkums
    • Vietnes virsrakstu injekcijas bez konkrēta vai acīmredzama efekta
    • Flash eksploiti
    • CSRF anketās, kurām nav nepieciešama autentifikācija vai sensitīvas darbības
    • Klikšķu laupīšana lapās, kurām nav nepieciešamas sensitīvas darbības
    • Ievainojamības, kurām nepieciešams MITM uzbrukums, vai fiziska piekļuve lietotāja tīmekļa pārlūkprogrammai, e-pasta kontam, viedtālrunim un problēmas, saistītas ar sakņotām/uzlauztām ierīcēm.

Atbildīga atklāšana

Atbildīga atklāšana ietver, bet neierobežojas ar:

  • Dodiet mums saprātīgu laika periodu, lai atrisinātu problēmu, pirms to publicējat citur.

  • Neaizskart citu lietotāju privāto dzīvi, netraucēt pakalpojumu sniegšanu utt. (rīkoties godīgi).

  • Nemaldināt Bankera lietotājus (nekontaktējieties ar individuālu kontu, kas ietver modificēšanu, vai piekļuvi konta datiem) vai pašu Bankera platformu kļūdas atklāšanas procesā.

  • Izmantojiet savu kontu, lai meklētu kļūdas, kas saistītas ar piekļuvi kontam.

  • Ja netīšām piekļūstat privātiem datiem, lūdzu, informējiet mūs un izdzēsiet visu saistīto informāciju, tostarp, bet neaprobežojoties ar piekļuves kodiem, privātajiem datiem utt.

  • Ja atradāt kļūdu, kas ļāva jums piekļūt un/vai pārvietot līdzekļus no Bankera, jūs apņematies mums atgriezt visu summu.

*Lai veicinātu atbildīgu informācijas atklāšanu, mēs neveiksim tiesiskas darbības pret pētniekiem, kuri ziņo par problēmu un ievēro iepriekš izklāstītās vadlīnijas.

dokumentu mape

Atradāt kļūdu?

Ziņot par kļūdu