Program Bug Bounty

Bankera zawsze stawia na pierwszym miejscu bezpieczeństwo funduszy swoich klientów: nasz zespół ds. bezpieczeństwa cybernetycznego niestrudzenie pracuje nad wykryciem wszelkich możliwych luk w naszych systemach. Jednakże, zawsze istnieje minimalne prawdopodobieństwo, że niektóre luki zostały przeoczone. Dlatego zdecydowaliśmy się na uruchomienie programu nagród za błędy (ang. Bug Bounty), który pozwoli naszej społeczności pracować ramię w ramię z firmą Bankera i pomoże utrzymać bezpieczeństwo, ochronę i jakość naszych usług.

Nagrody

Bankera nie ustaliła maksymalnej opłaty za zgłoszone luki, co znaczy, że kwota nagrody zależy od poziomu zagrożenia błędu. Aby zobaczyć ogólne ramy programu, znajdź wytyczne dotyczące podziału nagród w poniższej tabeli. Ustalenie ostatecznej kwoty pozostaje w gestii.

  • Nagrody są płacone na podstawie:

    • Jakość opisu
      Nagrody mogą być podwyższone za obszerne i w przejrzysty sposób napisane raporty o błędach.

    • Jakości weryfikacji koncepcji
      Większe nagrody mogą być wypłacane, jeśli dołączony jest kod testowy, skrypty i szczegółowe instrukcje.

    • Jakości sugestii dotyczącej poprawki błędu, jeśli jest dołączona
      Większe nagrody magą być wypłacone, jeśli będą dołączone sugestie dotyczące poprawki błędów.

  • Błąd i nagroda

    • Krytyczny

      $4,000 - $15,000

    • Wysoki

      $1,000 - $4,000

    • Średni

      $200 - $1,000

    • Niski

      do 200 $

Nagrodą są tylko nieznane i wcześniej nie zgłaszane błędy.
Za jedną lukę płacimy jedną nagrodę. Jeśli kilka osób zgłasza tą samą lukę, nagrodzona zostanie osoba, która zgłosiła pierwsza.
Aby otrzymać nagrodę, nie może być żadnych przeszkód prawnych (np. nie można uczestniczyć w tym programie, rezydentom lub osobom fizycznym znajdującym się w krajach podlegających sankcjom międzynarodowym, w tym między innymi WE, FATF, USA, ONZ).
W każdym przypadku Bankera ma prawo uznać zgłoszony błąd za nieistotny, w tym prawo do otrzymania nagrody. Zgłaszając błąd, użytkownik wyraża zgodę na przestrzeganie powyższych zasad.

Jak zgłosić błąd

  • Raport w sprawie błędu powinien zawierać szczegółowe instrukcje, które pozwolą nam odtworzyć i ocenić problem. Na przykład, raport dotyczący luk w stronie internetowej powinien zawierać co najmniej:

    • żądania i odpowiedzi HTTP wraz z odnośnymi parametrami
    • Zrzuty ekranowe lub wideo (w razie potrzeby)
    • Opis przeglądarki (typu), systemu operacyjnego i urządzenia
    • Opis postrzeganego wpływu luki
    • Sugestie dotyczące rozwiązania problemu (opcjonalne)
  • Nie należy publicznie udostępniać żadnych plików i/lub szczegółów związanych z luką. Dotyczy to również przesyłania plików na dowolne publicznie dostępne platformy (np. YouTube, Imgur, Pastebin, itp.).

  • Raport i wszelkie złączniki należy zaszyfrować za pomocą klucza publicznego PGP (dostępny poniżej).

  • Raporty dotyczące luk wysyłać na adres [email protected].

Jeśli nasz zespół ds. bezpieczeństwa cybernetycznego nie będzie w stanie odtworzyć i zweryfikować błąd, nagroda nie zostanie przyznana.

skrzynia błędu
Zgłoś błąd

Kwalifikowność

  • Luki znalezione w którejkolwiek z usług świadczonej przez Bankera kwalifikują się do naszego programu Bug Bounty, w tym strona internetowa Bankera i internetowa platforma bankowości. Ogólnie rzecz biorąc, luki, które mogą spowodować straty finansowe lub naruszenie danych, są uważane za wystarczająco poważne, aby za nie wydawać nagrody. Mogą one obejmować:

    • Atak CSRF (ang. Cross-Site Request Forgery, CSRF)
    • Atak XSS (ang. Cross-Site Scripting, XSS)
    • Wstrzyknięcie kodu (ang. Code Injection)
    • Zdalne wykonanie kodu (ang. Remote Code Execution)
    • Eskalacja uprawnień (ang. Privilege Escalation)
    • Obejście uwierzytelniania (ang. Authentication Bypass)
    • Przechwytywanie kliknięć (ang. Clickjacking)
    • Wyciek poufnych danych (ang. Leakage of Sensitive Data)

Niekwalifikowność

  • Ogólnie rzecz biorąc, następujące luki nie osiągają progu ważności i dlatego nie kwalifikują się na nagrodę:

    • Brak DNSSEC (ang. Lack of DNSSEC)
    • Wstrzyknięcie nagłówka hosta (ang. Host header injection) bez konkretnego i możliwego do udowodnienia wpływu
    • Eksploity Flasha (ang. Flash based exploits)
    • CSRF na formularzach, które nie wymagają uwierzytelniania lub na niewrażliwych działaniach
    • Przechwytywanie kliknięć (ang. Clickjacking) nas stronach, które nie wymagają wrażliwych działań
    • Luki wymagające ataku typu „Man-in-the-middle attack” lub fizycznego dostępu do przeglądarki internetowej użytkownika, konta e-mail, smartfona i problemów z urządzeniami rootowanymi/jailbreak

Odpowiedzialne ujawnianie informacji

Odpowiedzialne ujawnianie informacji obejmuje, ale nie ogranicza się do:

  • Zapewnienie nam rozsądnej ilości czasu na naprawienie problemu przed opublikowaniem go w innym miejscu.

  • Nienaruszania prywatności innych użytkowników, nie niszczenia jakichkolwiek danych lub nie zakłócania naszych usług, itp. (działanie w dobrej wierze).

  • Nie oszukiwać użytkowników Bankera (nie wchodzić w interakcję z osobistym kontem, co obejmuje modyfikowanie lub dostęp do danych z konta) lub Bankera w procesie wykrywania błędów.

  • W przypadku eksploitów, które wymagają dostępu do konta, użytkownik musi korzystać z własnego konta.

  • W przypadku nieumyślnego dostępu do danych prywatnych prosimy najpierw powiadomić nas o tym zdarzeniu, a następnie usunąć wszystkie związane z tym informacje, w tym między innymi kody dostępu, dane prywatne itp.

  • Jeżeli w przypadku wystąpienia błędu użytkownik uzyska dostęp i/lub przeniesie środki z Bankera, użytkownik jest zobowiązany do zwrotu całej kwoty do Bankera.

* Aby zachęcić do odpowiedzialnego ujawniania informacji, nie zamierzamy wszczynać działań prawnych przeciwko uczestników programu, którzy zgłaszają problem i przestrzegają powyższych wytycznych.

folder na dokumenty

Znalazłeś błąd?

Zgłoś błąd