Целью программы Bug Bounty является стимулирование обнаружения уязвимостей программного обеспечения платформы EXMO, чтобы сделать его максимально безопасным. Внешняя оценка безопасности так же важна, как и внутреннее тестирование и пересмотр применяемых систем. Мы ценим ваш интерес к этой программе, и постоянное улучшение систем безопасности EXMO является командной работой, в которой также участвуют наши активные пользователи. Вместе мы делаем безопасность сервисов EXMO еще лучше.
Мы рекомендуем нашим пользователям и сторонним исследователям проводить тестирование наших систем с использованием собственных инструментов.
Ниже приведены правила, которым вы должны следовать для корректного исследования ошибок и составления соответствующего отчета об ошибках:
Ниже приводится номинальное вознаграждение за определенные классы уязвимостей для свойств, входящих рамки Bug Bounty (пожалуйста, смотрите пункт настоящей политики «В рамках Bug Bounty»)
Мы не принимаем к рассмотрению в рамках программы Bug Bounty отчеты об ошибках, которые относятся к:
Если вы обнаружили проблему безопасности, которая напрямую влияет на криптовалюту и/или ее компоненты (например, блокчейн, узел, кошелек), убедитесь, что вы сообщили о ней непосредственно соответствующей команде проекта.
Пожалуйста, отправляйте отчеты об ошибках на электронную почту support@exmo.com. Наша техническая команда свяжется с вами в ближайшее время, если ошибка будет ими признана. Включите в свое сообщение как можно больше информации, чтобы мы могли подробно изучить ошибку, оценить ее и рассмотреть ее потенциальное воздействие. Также, пожалуйста, включите в ваше сообщение об ошибке инструкцию и/или коды подтверждения концепции (proof-of-concept), чтобы воспроизвести обнаруженную вами ошибку.
Если вы хотите, чтобы ваше имя было включено в Стену славы, включите его в сообщение об ошибке.
Минимальное вознаграждение за сообщенную и подтвержденную ошибку составляет 100 USD (сто долларов США). Если мы посчитаем, что сообщенная ошибка имеет среднее или критическое техническое значение — мы заплатим вам больше.
За одну ошибку производится одна выплата.
Любые действия по исследованию ошибок, проводимые вами в соответствии с данной программой Bug Bounty, будут рассматриваться нами как санкционированные, и мы не будем возбуждать против вас судебный иск.
Эта программа Bug Bounty не распространяется на лиц, включенных в санкционные списки, или лиц в странах, включенных в санкционные списки, пользователей из которых мы не обслуживаем (более подробную информацию смотрите в нашем Пользовательском соглашении). Вы также несете единоличную ответственность за уплату любых налогов в отношении вознаграждения и должны соблюдать все применимые законы.
Мы можем изменить условия этой программы Bug Bounty или прекратить ее в любое время.
Обратите внимание, что мы регистрируем ваши личные данные в связи с обработкой сообщений об ошибках. Если вы хотите сообщить о проблеме анонимно, укажите это в своем сообщении.
Учитывая возможный конфиденциальный характер ошибок, мы разрешаем раскрытие таких ошибок только после того, как они были полностью исправлены, а также после нашего утверждения деталей раскрытия, и когда в такое раскрытие не включена конфиденциальная информация.