Программа баг-баунти

Сообщить об ошибке

Bankera всегда ставит безопасность средств своих клиентов превыше всего: наша команда по кибербезопасности неустанно работает над выявлением любых возможных багов в наших системах. Однако всегда существует минимальная вероятность того, что мы можем упустить какие-то ошибки. Поэтому мы решили запустить программу по выявлению багов, которая позволит нашему сообществу работать рука об руку с Bankera и поможет обеспечить безопасность, надежность и высокое качество наших услуг.

Вознаграждения

Награды распределяются в зависимости от критичности обнаруженной ошибки. Bankera не устанавливает максимальное вознаграждение за обнаруженные ошибки - если вы обнаружите критический баг на нашей платформе, вознаграждение будет соответственно увеличено. Чтобы увидеть общую картину, прочитайте правила распределения вознаграждений в таблице ниже. Определение окончательной награды остается исключительно на наше усмотрение.

Вознаграждения выплачиваются основываясь на следующих критериях:
- Качество описания ошибки
  За четкие и подробные отчеты об ошибках могут быть назначены более крупные награды.
- Качество доказательства концепции
  Более высокие вознаграждения могут быть выплачены, если в описание бага включены тестовый код, сценарии и подробные инструкции.
- Эффективность устранения, если присутствует
  Вознаграждения будут более крупными, если в отчете об ошибке содержатся предложения по устранению проблемы.

Баг и вознаграждение
- Критический
  $4,000 - $15,000
- Высокий
  $1,000 - $4,000
- Средний
  $200 - $1,000
- Низкий
  до $200

Вознаграждение можно получить только за неизвестные и ранее не зарегистрированные баги.
Мы выделяем только одну награду за каждую найденную ошибку. Если об одной и той же ошибке отправлено несколько отчетов, мы наградим только первого докладчика.
Для получения вознаграждения не должно быть никаких юридических препятствий (например, вы не можете участвовать в этой программе, если вы являетесь резидентом или физическим лицом, находящимся в стране, на которую распространяются международные санкции, включая, помимо прочего, ЕС, ФАТФ, США, ООН.)
В любом случае Bankera имеет право по своему усмотрению признать обнаруженную уязвимость незначительной, а также право на присуждение вознаграждения. Отправляя сообщение об ошибке, вы соглашаетесь соблюдать приведенные выше правила.

Как сообщить об ошибке

Отчет об ошибке должен содержать подробное пошаговое подтверждение концепции, которая позволила бы нам воспроизвести и оценить проблему. Например, отчет о веб-ошибке должен содержать как минимум:
- HTTP-запросы/ответы вместе с затронутыми параметрами
- Скриншоты или видео (при необходимости)
- Описание браузера (тип), ОС, устройства и/или версии приложения
- Описание предполагаемого воздействия бага
- Предложения о том, как решить проблему (необязательно)
Не публикуйте файлы и / или сведения, связанные с этой уязвимостью. Это правило включает в себя загрузку на любые общедоступные веб-сайты (например, YouTube, Imgur, Pastebin и т. д.).
Зашифруйте ваше сообщение и любые вложения с помощью нашего открытого ключа PGP (доступно ниже).
Присылайте свои отчеты об ошибках по адресу [email protected]

Если наша команда по кибербезопасности не сможет воспроизвести и проверить ошибку, вознаграждение не будет выплачено.

PGP публичный ключ

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SfEx

Сообщить об ошибке

Рассматриваемые ошибки

Все услуги SpectroCoin попадают под действие программы баг-баунти, включая приложения SpectroCoin для iOS и Android, SpectroCoin кошелёк, API, инструменты для торговли, карты и биржу. Обычно, баги, которые потенциально несут угрозу потери или кражи средств или данных считаются достаточно критичными, например:
- Межсайтовая подделка запроса (Cross-Site Request Forgery (CSRF))
- Межсайтовый скриптинг (Cross-Site Scripting (XSS))
- Инъекция кода (Code Injection)
- Удаленное выполнения кода (Remote Code Execution)
- Повышение привилегий (Privilege Escalation)
- Обход аутентификации (Authentication Bypass)
- Кликджекинг (Clickjacking)
- Утечка данных (Leakage of Sensitive Data)

Нерассматриваемые ошибки

Как правило, следующие ошибки не являются достаточно серьезными:
- Недостаток DNSSEC
- Инъекции заголовка без определенного и очевидного воздействия
- Флэш-эксплоиты
- CSRF, которые не требуют аутентификации или чувствительных действий
- Кликджекинг на страницах где отсутствуют чувствительные действия
- Уязвимости, требующие атаки «man-in-the-middle» (MITM) или физического доступа к веб-браузеру пользователя, учетной записи электронной почты, смартфону и проблемы на корневых / взломанных устройствах

Ответственное раскрытие информации

Ответственное раскрытие включает, но не ограничивается следующими факторами:

Предоставить нам количество времени, достаточное для исправления ошибки до того, как информация о ней будет распространена.
Приложить все усилия, чтобы не причинить ущерб нашим пользователям и услугам (действовать добросовестно).
Не взламывать пользователей Bankera (не взаимодействовать с индивидуальной учетной записью, которая включает изменение или доступ к данным с учетной записи) или сотрудников Bankera в процессе обнаружения.
Если для поиска ошибок нужен доступ к аккаунту, вы должны использовать свой личный аккаунт.
Если вы случайно получите доступ к личным данным, мы попросим вас удалить всю связанную с ними информацию, включая: коды подключения, личные данные и т.д., после того, как оповестили нас об этом.
Если вы ошибочно смогли получить доступ и/или переместить средства со Bankera, вы соглашаетесь на полный возврат средств Bankera.

* Чтобы мотивировать ответственное обнаружение, мы не будем предпринимать никаких юридических действий против находчика, если он будет стараться соблюдать все вышеуказанные пункты.

Нашли ошибку?

Сообщить об ошибке

Экосистема

Программа баг-баунти

Вознаграждения

Вознаграждения выплачиваются основываясь на следующих критериях:

Баг и вознаграждение

Как сообщить об ошибке

Рассматриваемые ошибки

Нерассматриваемые ошибки

Ответственное раскрытие информации

Нашли ошибку?

Решения

Компания

Экосистема

Сообщество

О нас

API