Программа Bug Bounty

Последнее обновление: 25 ноября 2020

Целью программы Bug Bounty является стимулирование обнаружения уязвимостей программного обеспечения платформы EXMO, чтобы сделать его максимально безопасным. Внешняя оценка безопасности так же важна, как и внутреннее тестирование и пересмотр применяемых систем. Мы ценим ваш интерес к этой программе, и постоянное улучшение систем безопасности EXMO является командной работой, в которой также участвуют наши активные пользователи. Вместе мы делаем безопасность сервисов EXMO еще лучше.

Мы рекомендуем нашим пользователям и сторонним исследователям проводить тестирование наших систем с использованием собственных инструментов.

Правила исследования

Ниже приведены правила, которым вы должны следовать для корректного исследования ошибок и составления соответствующего отчета об ошибках:

• не обращайтесь намеренно к закрытым данным EXMO больше, чем это необходимо для демонстрации ошибки;
• не удаляйте и не изменяйте навсегда данные, размещенные на EXMO;
• не нарушайте работу наших внутренних или внешних служб;
• не нарушайте приватность пользователей EXMO;
• вы можете настроить таргетинг только на свою учетную запись в процессе исследования ошибок;
• не разглашайте конфиденциальную информацию EXMO;
• не применяйте вредоносные методы социальной инженерии;
• не используйте какие-либо методы перебора для получения доступа к системе;
• оперативно сообщайте о найденных ошибках и/или уязвимостях в системах EXMO;
• не используйте попытки физических атак на собственность или центры обработки данных EXMO;

В программу Bug Bounty включены

• Домены и поддомены: *.exmo.com; *.exmo.me; *.exmo.com.tr;
• API https://api.exmo.com;
• Мобильные приложения:
  • https://play.google.com/store/apps/details?id=com.exmo;
  • https://apps.apple.com/ru/app/exmo-exchange/id1505496232.

Вне рамок программы Bug Bounty

• Поддомены: info.exmo.com; info.exmo.me;
• Домен и поддомены: *.exmo.money;
• Домены: support.exmoney.com; exmoney.zendesk.com.

Включено в Bug Bounty

Ниже приводится номинальное вознаграждение за определенные классы уязвимостей для свойств, входящих рамки Bug Bounty (пожалуйста, смотрите пункт настоящей политики «В рамках Bug Bounty»)

• Удаленное выполнение кода
• Инъекция
• Нарушенная аутентификация и управление сеансом
• Административная функциональность
• Захват аккаунта
• Другие допустимые уязвимости

Исключения

Мы не принимаем к рассмотрению в рамках программы Bug Bounty отчеты об ошибках, которые относятся к:

• Любым сторонним приложениям или сайтам, хостингом которых они являются;
• Социальная инженерия направленная на сотрудников компании;
• DDoS, спам;
• Отсутствие флагов cookie для cookie-файлов, не связанных с безопасностью;
• Слабые места SSL, общедоступная информация и/или инструкции браузера (HTTP, TLS, SPF, DKIM и т.д.);
• Программное обеспечение или протоколы, которые EXMO не контролирует;
• Устаревшие или не обновленные версии веб-браузеров;
• Атаки, требующие физического доступа к устройству пользователя;
• Ошибки UI и UX, орфографические ошибки или ошибки локализации;
• Уязвимости в сторонних приложениях;
• Ошибки, которые нам уже известны.

Если вы обнаружили проблему безопасности, которая напрямую влияет на криптовалюту и/или ее компоненты (например, блокчейн, узел, кошелек), убедитесь, что вы сообщили о ней непосредственно соответствующей команде проекта.

Отправить сообщение об ошибке

Пожалуйста, отправляйте отчеты об ошибках на электронную почту [email protected]. Наша техническая команда свяжется с вами в ближайшее время, если ошибка будет ими признана. Включите в свое сообщение как можно больше информации, чтобы мы могли подробно изучить ошибку, оценить ее и рассмотреть ее потенциальное воздействие. Также, пожалуйста, включите в ваше сообщение об ошибке инструкцию и/или коды подтверждения концепции (proof-of-concept), чтобы воспроизвести обнаруженную вами ошибку.

Если вы хотите, чтобы ваше имя было включено в Стену славы, включите его в сообщение об ошибке.

Получить награду

Минимальное вознаграждение за сообщенную и подтвержденную ошибку составляет 100 USD (сто долларов США). Если мы посчитаем, что сообщенная ошибка имеет среднее или критическое техническое значение — мы заплатим вам больше.

За одну ошибку производится одна выплата.

Гарантия безопасности

Любые действия по исследованию ошибок, проводимые вами в соответствии с данной программой Bug Bounty, будут рассматриваться нами как санкционированные, и мы не будем возбуждать против вас судебный иск.

Юридическое примечание

Эта программа Bug Bounty не распространяется на лиц, включенных в санкционные списки, или лиц в странах, включенных в санкционные списки, пользователей из которых мы не обслуживаем (более подробную информацию смотрите в нашем Пользовательском соглашении). Вы также несете единоличную ответственность за уплату любых налогов в отношении вознаграждения и должны соблюдать все применимые законы.

Мы можем изменить условия этой программы Bug Bounty или прекратить ее в любое время.

Обратите внимание, что мы регистрируем ваши личные данные в связи с обработкой сообщений об ошибках. Если вы хотите сообщить о проблеме анонимно, укажите это в своем сообщении.

Учитывая возможный конфиденциальный характер ошибок, мы разрешаем раскрытие таких ошибок только после того, как они были полностью исправлены, а также после нашего утверждения деталей раскрытия, и когда в такое раскрытие не включена конфиденциальная информация.