Bug Bounty-programma

Bankera stelt de veiligheid van het geld van zijn klanten altijd op de eerste plaats: ons Cybersecurity-team werkt onvermoeibaar om mogelijke kwetsbaarheden in onze systemen op te sporen. Er is echter altijd een minimale kans dat sommige fouten blijven bestaan. Daarom hebben we besloten om een bug bounty-programma te lanceren dat onze gemeenschap in staat zou stellen om hand in hand te werken met Bankera en te helpen onze diensten veilig, beveiligd en van hoge kwaliteit te houden.

Beloningen

Premies worden verdeeld afhankelijk van de ernst van de gerapporteerde kwetsbaarheid. Bankera heeft geen maximale beloning ingesteld voor de gerapporteerde bugs - als u een kritiek probleem op ons platform vindt, wordt de premie dienovereenkomstig verhoogd. Om het algemene beeld te zien, vindt u de richtlijnen voor het verdelen van beloningen in de onderstaande tabel. De bepaling van de uiteindelijke premie blijft geheel naar eigen goeddunken.

  • De beloningen worden toegekend op basis van:

    • Beschrijving kwaliteit
      Er kunnen grotere premies worden toegewezen voor duidelijke en uitgebreide bugbounty-rapporten.

    • Bewijs van conceptkwaliteit
      Er kunnen grotere premies worden toegekend als het bugrapport scripts, testcode en gedetailleerde instructies bevat.

    • Kwaliteit reparatie, indien inbegrepen
      Er kunnen grotere premies worden toegekend als het bugrapport suggesties geeft om het probleem op te lossen.

  • Bug en beloning

    • Kritisch

      $4,000 - $15,000

    • Hoog

      $1,000 - $4,000

    • Medium

      $200 - $1,000

    • Laag

      tot $200

Alleen onbekende en niet eerder gemelde kwetsbaarheden komen in aanmerking voor beloningen.
We belonen slechts één premie per bug. Als er meerdere meldingen worden ingediend voor dezelfde kwetsbaarheid, belonen we alleen de eerste melder.
Om een beloning te ontvangen, mag er geen wettelijke belemmering zijn om dit te doen (u mag bijvoorbeeld niet deelnemen aan dit programma als u een inwoner of persoon bent die zich in een land bevindt dat is onderworpen aan internationale sancties, waaronder maar niet beperkt tot EC, FATF, VS, VN.)
Bankera heeft in ieder geval de discretie om een gerapporteerde kwetsbaarheid als onbeduidend te beschouwen, inclusief het in aanmerking komen voor de beloning. Door een bug in te dienen, gaat u ermee akkoord de bovenstaande regels te volgen.

Hoe meld ik een bug?

  • Bugrapporten moeten worden gepresenteerd met een gedetailleerd stapsgewijs proof of concept dat ons zou helpen het probleem te reproduceren en te evalueren. Een rapport waarin een webgerelateerde fout wordt uitgelegd, moet bijvoorbeeld ten minste het volgende bevatten:

    • HTTP-verzoeken en -antwoorden samen met de betrokken parameters
    • Video's of screenshots (indien nodig)
    • Beschrijving van de browser (type), besturingssysteem en apparaat
    • Beschrijving van het waargenomen effect van de bug
    • Suggesties voor het oplossen van het probleem (indien mogelijk)
  • Deel geen bestanden en/of details met betrekking tot de gevonden bug openbaar. Dit omvat uploads naar openbaar toegankelijke platforms (zoals YouTube, Imgur, Pastebin, enz.).

  • Versleutel het rapport en eventuele benodigde bijlagen met onze PGP Public Key (hieronder beschikbaar).

  • Stuur uw bugrapporten naar [email protected].

Als ons Cybersecurity-team de bug niet kan reproduceren en verifiëren, wordt de premie niet uitbetaald.

bug box
Rapporteer bug

In aanmerking komende bugs

  • Kwetsbaarheden gevonden in een van de diensten van Bankera komen in aanmerking voor het bugbounty-programma, inclusief de landingswebsite van Bankera en het platform voor internetbankieren. Over het algemeen wordt het rapporteren van bugs die mogelijk kunnen leiden tot financieel verlies of datalek, als voldoende ernstig beschouwd om te worden toegekend. Deze kunnen zijn:

    • Cross-Site Request Forgery (CSRF)
    • Cross-Site Scripting (XSS)
    • Code-injectie
    • Uitvoering van externe code
    • Privilege escalatie
    • Authenticatie omzeilen
    • Clickjacking
    • Lekken van gevoelige gegevens

Ongeschikte bugs

  • Over het algemeen worden de volgende problemen niet als ernstig genoeg beschouwd en komen ze dus niet in aanmerking voor beloningen:

    • Gebrek aan DNSSEC
    • Host header-injecties zonder een specifieke en aantoonbare impact
    • Op Flash gebaseerde exploits
    • CSRF op formulieren die geen authenticatie vereisen of op niet-gevoelige acties
    • Clickjacking op pagina's zonder gevoelige acties
    • Kwetsbaarheden die een Man-in-the-middle-aanval (MITM) of fysieke toegang tot de webbrowser, e-mailaccount, smartphone van een gebruiker en problemen op geroote/gejailbreakte apparaten vereisen.

Verantwoordelijke openbaarmaking

Verantwoordelijke openbaarmaking omvat, maar is niet beperkt tot:

  • Ons een redelijke hoeveelheid tijd geven om het probleem op te lossen voordat we het ergens anders publiceren.

  • Het niet schenden van de privacy van andere gebruikers, het vernietigen van gegevens of het verstoren van onze diensten, enz. (Te goeder trouw handelen).

  • Bankera-gebruikers niet bedriegen (geen interactie aangaan met een individuele account die het wijzigen van of toegang krijgen tot gegevens van de account) of Bankera zelf tijdens het ontdekkingsproces.

  • Voor exploits waarvoor accounttoegang nodig is, moet u uw eigen account gebruiken.

  • Als u per ongeluk toegang krijgt tot privégegevens, vragen wij u om alle gerelateerde informatie, inclusief maar niet beperkt tot toegangscodes, privégegevens, enz., Te verwijderen nadat u ons hiervan op de hoogte hebt gesteld.

  • Als u in het geval van een bug toegang heeft gekregen tot en/of geld van Bankera heeft kunnen verplaatsen, verbindt u zich ertoe om het volledige bedrag aan Bankera terug te betalen.

* Om verantwoorde openbaarmaking aan te moedigen, gaan we geen juridische stappen ondernemen tegen de onderzoekers die op een probleem wijzen, op voorwaarde dat ze hun best doen om de bovenstaande richtlijnen te volgen.

document folder

Bugs gevonden?

Rapporteer bug