Программа Bug Bounty

Последнее обновление: 26 января 2022

Цель программы Bug Bounty – стимулировать активное участие трейдеров EXMO, а также сторонних исследователей в обнаружении уязвимостей программного обеспечения платформы EXMO.

Мы уверены, что внешняя оценка безопасности так же важна, как и внутреннее тестирование. Наша команда высоко ценит ваши усилия, направленные на то, чтобы сделать EXMO еще более надежной биржей. Программа Bug Bounty позволяет получать вознаграждение за предоставление корректных отчетов об ошибках. Давайте вносить вклад в безопасность сервисов EXMO вместе!

Мы рекомендуем использовать собственные инструменты при тестировании наших систем.

Правила исследования

Следуйте приведенным ниже правилам для корректного исследования ошибок и составления соответствующего отчета об ошибках:

• Не компрометируйте какие-либо личные данные, не прерывайте и не ухудшайте работу каких-либо сервисов.
• Не повреждайте и не ограничивайте доступ к сервисам и инфраструктуре EXMO.
• Выполняйте поиск ошибок только в рамках программы, указанных ниже.
• При исследовании уязвимостей настройте таргетинг только на свою учетную запись и не изменяйте данные других пользователей EXMO.
• Собирайте только ту информацию, которая необходима для сообщения об ошибке.
• Избегайте использования автоматических сканеров уязвимостей, чтобы не генерировать массовый трафик.
• Не спамьте формы для создания учетных записей с помощью автоматических сканеров.
• Оперативно сообщайте о найденных ошибках и/или уязвимостях в системах EXMO.
• Не разглашайте конфиденциальную информацию EXMO и не сообщайте подробности об уязвимостях никому кроме команды EXMO или HackenProof.
• Не применяйте вредоносные методы социальной инженерии.

В рамках программы Bug Bounty

• Домены: exmo.com; exmo.me.
• Поддомены: *.exmo.com; *.exmo.me.
• API https://api.exmo.com
• Мобильные приложения:
  • https://play.google.com/store/apps/details?id=com.exmo;
  • https://apps.apple.com/ru/app/exmo-exchange/id1505496232.

Вне рамок программы Bug Bounty

• Поддомены: info.exmo.me; info.exmo.me.
• Домен и поддомены: *.exmo.money.
• Домены: support.exmoney.com; exmoney.zendesk.com.

Включено в Bug Bounty

При проведении исследования безопасности, обращайте внимание на следующие классы уязвимостей:

• Удаленное выполнение кода (RCE)
• Уязвимости, связанные с внедрением SQL и XXE
• Проблемы с бизнес-логикой
• Манипуляции с платежами
• Локальное и удаленное внедрение файлов
• Проблемы с контролем доступа (IDOR, повышение привилегий и т. д.)
• Утечка конфиденциальной информации
• Подделка межсайтовых запросов (CSRF)
• Межсайтовый скриптинг (XSS)
• Обход каталога
• Другие уязвимости, представляющие потенциальный риск для бизнеса

Исключения

В рамках программы Bug Bounty не рассматриваются следующие ошибки и уязвимости:

• Уязвимости в сторонних приложениях
• Уязвимости нулевого дня (0day), обнаруженные недавно (менее 30 дней)
• Уязвимости, затрагивающие пользователей устаревших браузеров или платформ
• Социальная инженерия, фишинг или другое мошенничество
• Вопросы передовой практики
• Уязвимости, связанные с активным контентом, таким как надстройки веб-браузера
• Отказ в обслуживании (DoS/DDoS) и рассылка спама (SMS, электронная почта и т.д.)
• Большинство методов перебора не имеющих какого-либо явного воздействия
• Общедоступные панели входа без доказательств эксплуатации
• Раскрытие общедоступной пользовательской информации, а также неконфиденциальной и умеренно конфиденциальной информации
• Отсутствие заголовка безопасности HTTP
• Отсутствие флага безопасности для неуязвимых файлов cookie
• Уязвимости инфраструктуры, в том числе:
  • Неполадки, связанные с сертификатами/TLS/SSL
  • Ошибки DNS сервера (например, записи MX, записи SPF, записи DMARC и т. д.)
  • Ошибки конфигурации сервера (например, открытые порты, TLS и т. д.)
• Уязвимости, связанные с “перечислением” пользователей
• Self-XSS, который нельзя использовать для эксплуатации других пользователей
• Вход и выход из CSRF
• Слабая капча
• Перечисление имени пользователя/электронной почты через сообщения об ошибках на странице регистрации
• CSRF в формах, доступных анонимным пользователям (например, контактная форма)
• Включен HTTP метод OPTIONS/TRACE
• Ошибки с заголовком хоста без подтверждения концепции, демонстрирующей уязвимость
• Проблемы со спуфингом контента и внедрением текста без отображения вектора атаки или без возможности модифицировать HTML/CSS
• Спуфинг контента без встроенных ссылок/HTML
• Загрузка отраженных файлов (RFD)
• Смешанный HTTP-контент
• Смешанные скрипты протоколов https
• MitM и локальные атаки
• Сообщения о том, что программное обеспечение устарело или уязвимо без подтверждения концепции
• Отчеты, созданные автоматическими сканерами или инструментами эксплуатации
• Программное обеспечение или протоколы, которые EXMO не контролирует
• Теоретические проблемы и баги, которые нам уже известны

Если вы обнаружили проблему безопасности, которая напрямую влияет на криптовалюту и/или ее компоненты (например, блокчейн, узел, кошелек), убедитесь, что вы сообщили о ней непосредственно соответствующей команде проекта.

Исключения для мобильного приложения EXMO

Что касается нашего мобильного приложения, то мы не рассматриваем следующие классы уязвимостей:

• Атаки, требующие физического доступа к устройству пользователя
• Уязвимости, требующие рута/джейлбрейка или интенсивного взаимодействия с пользователем
• Раскрытие неконфиденциальных данных на устройстве
• Отчеты статического анализа бинарника без PoC, которые влияют на бизнес-логику
• Отсутствие обфускации/бинарной защиты/обнаружения root (джейлбрейка)
• Обход закрепления сертификата на корневых устройствах
• Отсутствие средств защиты от эксплойтов, таких как PIE, ARC или Stack Canaries
• Конфиденциальные данные в URL-адресах/телах запросов при защите TLS
• Раскрытие пути в бинарнике
• OAuth и секрет OAuth, жестко запрограммированные/восстанавливаемые в IPA, APK
• Конфиденциальная информация, которая сохраняется в виде открытого текста в памяти устройства
• Сбои из-за искаженных схем URL-адресов или намерений, отправленных экспортированным приемникам (использование их для утечки конфиденциальных данных обычно входит в область действия)
• Конфиденциальные данные, хранящиеся в личном каталоге приложения
• Общие ссылки, которые просочились через системный буфер обмена
• Утечка любых URI по причине того, что вредоносное приложение имеет разрешение на просмотр открытых URI данных
• Раскрытие ключей API, которое не влияет на безопасность (ключи API Карт Google и т. д.)

Отправка сообщения об ошибке

Пожалуйста, отправляйте отчеты об ошибках на электронную почту [email protected]. Наша техническая команда свяжется с вами в ближайшее время, если ошибка будет ими признана. Включите в свое сообщение как можно больше информации, чтобы мы могли подробно изучить ошибку, оценить ее и рассмотреть ее потенциальное воздействие. Также, пожалуйста, включите в ваше сообщение об ошибке инструкцию и/или коды подтверждения концепции (proof-of-concept).

Вы также можете отправить отчет об ошибке на странице нашего партнера. HackenProof — это ведущая web3 платформа для поиска ошибок и координации уязвимостей.

Награды

Минимальная награда за зарегистрированную и подтвержденную ошибку составляет $50. Если мы посчитаем, что обнаруженная ошибка имеет высокий уровень технической опасности, мы заплатим вам до $3000.

• Критический: $2500–3000
• Высокий: $1000–2000
• Средний: $500–1000
• Низкий: $50–250

Гарантия безопасности

Любые действия по исследованию ошибок, проводимые вами в соответствии с программой Bug Bounty, будут рассматриваться нами как санкционированные, и мы не будем возбуждать против вас судебный иск.

Юридическое примечание

Программа Bug Bounty не распространяется на лица, включенные в санкционные списки, или лица в странах, входящих в санкционные списки (более подробную информацию смотрите в нашем пользовательском соглашении). Вы также несете единоличную ответственность за уплату любых налогов в отношении вознаграждения и обязаны соблюдать все применимые законы.

Мы оставляем за собой право изменять условия программы Bug Bounty или прекращать ее в любое время.

Обратите внимание, что мы регистрируем ваши личные данные при обработке отчетов об ошибках. Если вы хотите сообщить о проблеме анонимно, укажите это в сообщении.

Учитывая конфиденциальный характер возможных ошибок, мы разрешаем раскрывать их только после того, как они были исправлены, все детали раскрытия были утверждены, и в них не была включена конфиденциальная информация.