Программа баг-баунти

Bankera всегда ставит безопасность средств своих клиентов превыше всего: наша команда по кибербезопасности неустанно работает над выявлением любых возможных багов в наших системах. Однако всегда существует минимальная вероятность того, что мы можем упустить какие-то ошибки. Поэтому мы решили запустить программу по выявлению багов, которая позволит нашему сообществу работать рука об руку с Bankera и поможет обеспечить безопасность, надежность и высокое качество наших услуг.

Вознаграждения

Награды распределяются в зависимости от критичности обнаруженной ошибки. Bankera не устанавливает максимальное вознаграждение за обнаруженные ошибки - если вы обнаружите критический баг на нашей платформе, вознаграждение будет соответственно увеличено. Чтобы увидеть общую картину, прочитайте правила распределения вознаграждений в таблице ниже. Определение окончательной награды остается исключительно на наше усмотрение.

  • Вознаграждения выплачиваются основываясь на следующих критериях:

    • Качество описания ошибки
      За четкие и подробные отчеты об ошибках могут быть назначены более крупные награды.

    • Качество доказательства концепции
      Более высокие вознаграждения могут быть выплачены, если в описание бага включены тестовый код, сценарии и подробные инструкции.

    • Эффективность устранения, если присутствует
      Вознаграждения будут более крупными, если в отчете об ошибке содержатся предложения по устранению проблемы.

  • Баг и вознаграждение

    • Критический

      $4,000 - $15,000

    • Высокий

      $1,000 - $4,000

    • Средний

      $200 - $1,000

    • Низкий

      до $200

Вознаграждение можно получить только за неизвестные и ранее не зарегистрированные баги.
Мы выделяем только одну награду за каждую найденную ошибку. Если об одной и той же ошибке отправлено несколько отчетов, мы наградим только первого докладчика.
Для получения вознаграждения не должно быть никаких юридических препятствий (например, вы не можете участвовать в этой программе, если вы являетесь резидентом или физическим лицом, находящимся в стране, на которую распространяются международные санкции, включая, помимо прочего, ЕС, ФАТФ, США, ООН.)
В любом случае Bankera имеет право по своему усмотрению признать обнаруженную уязвимость незначительной, а также право на присуждение вознаграждения. Отправляя сообщение об ошибке, вы соглашаетесь соблюдать приведенные выше правила.

Как сообщить об ошибке

  • Отчет об ошибке должен содержать подробное пошаговое подтверждение концепции, которая позволила бы нам воспроизвести и оценить проблему. Например, отчет о веб-ошибке должен содержать как минимум:

    • HTTP-запросы/ответы вместе с затронутыми параметрами
    • Скриншоты или видео (при необходимости)
    • Описание браузера (тип), ОС, устройства и/или версии приложения
    • Описание предполагаемого воздействия бага
    • Предложения о том, как решить проблему (необязательно)
  • Не публикуйте файлы и / или сведения, связанные с этой уязвимостью. Это правило включает в себя загрузку на любые общедоступные веб-сайты (например, YouTube, Imgur, Pastebin и т. д.).

  • Зашифруйте ваше сообщение и любые вложения с помощью нашего открытого ключа PGP (доступно ниже).

  • Присылайте свои отчеты об ошибках по адресу [email protected]

Если наша команда по кибербезопасности не сможет воспроизвести и проверить ошибку, вознаграждение не будет выплачено.

коробка с жуками
Сообщить об ошибке

Рассматриваемые ошибки

  • Все услуги SpectroCoin попадают под действие программы баг-баунти, включая приложения SpectroCoin для iOS и Android, SpectroCoin кошелёк, API, инструменты для торговли, карты и биржу. Обычно, баги, которые потенциально несут угрозу потери или кражи средств или данных считаются достаточно критичными, например:

    • Межсайтовая подделка запроса (Cross-Site Request Forgery (CSRF))
    • Межсайтовый скриптинг (Cross-Site Scripting (XSS))
    • Инъекция кода (Code Injection)
    • Удаленное выполнения кода (Remote Code Execution)
    • Повышение привилегий (Privilege Escalation)
    • Обход аутентификации (Authentication Bypass)
    • Кликджекинг (Clickjacking)
    • Утечка данных (Leakage of Sensitive Data)

Нерассматриваемые ошибки

  • Как правило, следующие ошибки не являются достаточно серьезными:

    • Недостаток DNSSEC
    • Инъекции заголовка без определенного и очевидного воздействия
    • Флэш-эксплоиты
    • CSRF, которые не требуют аутентификации или чувствительных действий
    • Кликджекинг на страницах где отсутствуют чувствительные действия
    • Уязвимости, требующие атаки «man-in-the-middle» (MITM) или физического доступа к веб-браузеру пользователя, учетной записи электронной почты, смартфону и проблемы на корневых / взломанных устройствах

Ответственное раскрытие информации

Ответственное раскрытие включает, но не ограничивается следующими факторами:

  • Предоставить нам количество времени, достаточное для исправления ошибки до того, как информация о ней будет распространена.

  • Приложить все усилия, чтобы не причинить ущерб нашим пользователям и услугам (действовать добросовестно).

  • Не взламывать пользователей Bankera (не взаимодействовать с индивидуальной учетной записью, которая включает изменение или доступ к данным с учетной записи) или сотрудников Bankera в процессе обнаружения.

  • Если для поиска ошибок нужен доступ к аккаунту, вы должны использовать свой личный аккаунт.

  • Если вы случайно получите доступ к личным данным, мы попросим вас удалить всю связанную с ними информацию, включая: коды подключения, личные данные и т.д., после того, как оповестили нас об этом.

  • Если вы ошибочно смогли получить доступ и/или переместить средства со Bankera, вы соглашаетесь на полный возврат средств Bankera.

* Чтобы мотивировать ответственное обнаружение, мы не будем предпринимать никаких юридических действий против находчика, если он будет стараться соблюдать все вышеуказанные пункты.

папка с документами

Нашли ошибку?

Сообщить об ошибке