• Торги
  • Быстрый обмен
  • Новости
  • Статьи
  • FAQ
По вашему запросу результатов не найдено.
  • Пользовательское соглашение
  • Политика конфиденциальности
  • Политика AML/CTF и KYC
  • Сервисы и стоимость
  • Политика использования cookie-файлов
  • Программа Bug Bounty
  • Политика возврата
  • Политика cross-chain
  • Политика листинга ЕХМО
  • Другие документы

Программа Bug Bounty

November 25, 2020

Целью программы Bug Bounty является стимулирование обнаружения уязвимостей программного обеспечения платформы EXMO, чтобы сделать его максимально безопасным. Внешняя оценка безопасности так же важна, как и внутреннее тестирование и пересмотр применяемых систем. Мы ценим ваш интерес к этой программе, и постоянное улучшение систем безопасности EXMO является командной работой, в которой также участвуют наши активные пользователи. Вместе мы делаем безопасность сервисов EXMO еще лучше.

Мы рекомендуем нашим пользователям и сторонним исследователям проводить тестирование наших систем с использованием собственных инструментов.

Правила исследования

Ниже приведены правила, которым вы должны следовать для корректного исследования ошибок и составления соответствующего отчета об ошибках:

  • не обращайтесь намеренно к закрытым данным EXMO больше, чем это необходимо для демонстрации ошибки;
  • не удаляйте и не изменяйте навсегда данные, размещенные на EXMO;
  • не нарушайте работу наших внутренних или внешних служб;
  • не нарушайте приватность пользователей EXMO;
  • вы можете настроить таргетинг только на свою учетную запись в процессе исследования ошибок;
  • не разглашайте конфиденциальную информацию EXMO;
  • не применяйте вредоносные методы социальной инженерии;
  • не используйте какие-либо методы перебора для получения доступа к системе;
  • оперативно сообщайте о найденных ошибках и/или уязвимостях в системах EXMO;
  • не используйте попытки физических атак на собственность или центры обработки данных EXMO;

В программу Bug Bounty включены

  • Домены и поддомены: *.exmo.com; *.exmo.me; *.exmo.com.tr;
  • API https://api.exmo.com;
  • Мобильные приложения:
    • https://play.google.com/store/apps/details?id=com.exmo;
    • https://apps.apple.com/ru/app/exmo-exchange/id1505496232.

Вне рамок программы Bug Bounty

  • Поддомены: info.exmo.com; info.exmo.me;
  • Домен и поддомены: *.exmo.money;
  • Домены: support.exmoney.com; exmoney.zendesk.com.

Включено в Bug Bounty

Ниже приводится номинальное вознаграждение за определенные классы уязвимостей для свойств, входящих рамки Bug Bounty (пожалуйста, смотрите пункт настоящей политики «В рамках Bug Bounty»)

  • Удаленное выполнение кода
  • Инъекция
  • Нарушенная аутентификация и управление сеансом
  • Административная функциональность
  • Захват аккаунта
  • Другие допустимые уязвимости

Исключения

Мы не принимаем к рассмотрению в рамках программы Bug Bounty отчеты об ошибках, которые относятся к:

  • Любым сторонним приложениям или сайтам, хостингом которых они являются;
  • Социальная инженерия направленная на сотрудников компании;
  • DDoS, спам;
  • Отсутствие флагов cookie для cookie-файлов, не связанных с безопасностью;
  • Слабые места SSL, общедоступная информация и/или инструкции браузера (HTTP, TLS, SPF, DKIM и т.д.);
  • Программное обеспечение или протоколы, которые EXMO не контролирует;
  • Устаревшие или не обновленные версии веб-браузеров;
  • Атаки, требующие физического доступа к устройству пользователя;
  • Ошибки UI и UX, орфографические ошибки или ошибки локализации;
  • Уязвимости в сторонних приложениях;
  • Ошибки, которые нам уже известны.

Если вы обнаружили проблему безопасности, которая напрямую влияет на криптовалюту и/или ее компоненты (например, блокчейн, узел, кошелек), убедитесь, что вы сообщили о ней непосредственно соответствующей команде проекта.

Отправить сообщение об ошибке

Пожалуйста, отправляйте отчеты об ошибках на электронную почту support@exmo.com. Наша техническая команда свяжется с вами в ближайшее время, если ошибка будет ими признана. Включите в свое сообщение как можно больше информации, чтобы мы могли подробно изучить ошибку, оценить ее и рассмотреть ее потенциальное воздействие. Также, пожалуйста, включите в ваше сообщение об ошибке инструкцию и/или коды подтверждения концепции (proof-of-concept), чтобы воспроизвести обнаруженную вами ошибку.

Если вы хотите, чтобы ваше имя было включено в Стену славы, включите его в сообщение об ошибке.

Получить награду

Минимальное вознаграждение за сообщенную и подтвержденную ошибку составляет 100 USD (сто долларов США). Если мы посчитаем, что сообщенная ошибка имеет среднее или критическое техническое значение — мы заплатим вам больше.

За одну ошибку производится одна выплата.

Гарантия безопасности

Любые действия по исследованию ошибок, проводимые вами в соответствии с данной программой Bug Bounty, будут рассматриваться нами как санкционированные, и мы не будем возбуждать против вас судебный иск.

Юридическое примечание

Эта программа Bug Bounty не распространяется на лиц, включенных в санкционные списки, или лиц в странах, включенных в санкционные списки, пользователей из которых мы не обслуживаем (более подробную информацию смотрите в нашем Пользовательском соглашении). Вы также несете единоличную ответственность за уплату любых налогов в отношении вознаграждения и должны соблюдать все применимые законы.

Мы можем изменить условия этой программы Bug Bounty или прекратить ее в любое время.

Обратите внимание, что мы регистрируем ваши личные данные в связи с обработкой сообщений об ошибках. Если вы хотите сообщить о проблеме анонимно, укажите это в своем сообщении.

Учитывая возможный конфиденциальный характер ошибок, мы разрешаем раскрытие таких ошибок только после того, как они были полностью исправлены, а также после нашего утверждения деталей раскрытия, и когда в такое раскрытие не включена конфиденциальная информация.

Продукты
  • Кошелек
  • Торги
  • Cashback
  • Реферальная программа
  • Для VIP-клиентов
  • OTC
  • EXMOCoin
  • Голосование
Информация
  • База знаний
  • Отправить запрос
  • Комиссия и лимиты
  • API
Компания
  • Контакты
  • Новости
  • О нас
  • Работа в компании
  • Подать заявку на листинг
Документы
  • Пользовательское соглашение
  • Политика конфиденциальности
  • AML/CTF и KYC Политика
  • Сервисы и стоимость
  • Политика использования cookie-файлов
  • Политика cross-chain
  • Политика возврата
  • Политика листинга ЕХМО
  • Регистрация FinCEN
Copyright © EXMO EXCHANGE LTD. 2013-2021, 2 Kingdom Street, London, United Kingdom