Consiga BMX por encontrar errores

Recompensas de errores

Aunque nuestro equipo de expertos ha hecho todo lo posible por solucionar todos los errores de nuestros sistemas, siempre existe la posibilidad de que nos hayamos perdido uno que suponga una vulnerabilidad significativa. Si descubre un fallo, le agradecemos su cooperación para investigarlo de forma responsable y comunicárnoslo para que podamos solucionarlo lo antes posible. En el caso de encontrar errores de peso, ofrecemos recompensas y reconocimiento en nuestro Salón de la fama (más abajo).

Investigación e informes responsables
En la investigación y la presentación de informes responsables se incluye, entre otras cosas, lo siguiente:
  • No viole la privacidad de otros usuarios ni destruya datos ni interrumpa nuestros servicios, etc.
  • Solo céntrese en sus propias cuentas en el proceso de investigación de fallos. No tenga como objetivo las cuentas de otros usuarios, ni intente acceder a ellas ni interrumpa su funcionamiento.
  • No tenga como objetivo nuestras medidas de seguridad físicas ni intente utilizar la ingeniería social, el spam, los ataques de denegación de servicio distribuidos (DDOS), etc.
  • Informe inicialmente del error solo a nosotros y a nadie más.
  • Concédanos un plazo de tiempo razonable para corregir el error antes de revelarlo a otra persona y denos una advertencia por escrito como es debido antes de revelarlo a otra persona.
En general, le rogamos que investigue y notifique los errores de una manera que suponga una medida razonable y de buena fe, y que no sea perjudicial ni para nosotros ni para nuestros usuarios. De lo contrario, sus acciones podrían interpretarse como un ataque en lugar de un esfuerzo por ayudar.
Requisitos
En general, cualquier fallo que suponga una vulnerabilidad importante, ya sea para la seguridad de nuestra página web o para la integridad de nuestro sistema comercial, podría ser objeto de recompensa. Pero nos corresponde a nosotros decidir si un error es lo suficientemente significativo como para ser objeto de recompensa.
Entre los problemas de seguridad que suelen reunir los requisitos (aunque no necesariamente en todos los casos), se incluyen:
  • Vulnerabilidad Cross-Site Request Forgery (CSRF)
  • Vulnerabilidad Cross-Site Scripting (XSS)
  • Inyección de código
  • Ejecución remota de código
  • Escalada de privilegios
  • Omisión de la autenticación
  • Clickjacking o secuestro de clics
  • Filtración de datos sensibles
No reúne los requisitos
Entre aquellos errores que no reúnen los requisitos para recibir recompensa, se incluyen:
  • Vulnerabilidades en sitios alojados por terceros (support.bitmart.com, etc.) a menos que conduzcan a una vulnerabilidad en el sitio web principal.
  • Vulnerabilidades contingentes a ataques físicos, ingeniería social, spam, ataques DDOS, etc.
  • Vulnerabilidades que afectan a navegadores obsoletos o sin parches.
  • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de BitMart.
  • Errores que no han sido investigados y notificados de forma responsable.
  • Los errores ya conocidos por nosotros o ya notificados por otra persona (la recompensa va al primero que informe).
  • Problemas que no son reproducibles.
  • Problemas de los que no podemos esperar que hagamos nada de forma razonable.
Recompensa
  • La recompensa mínima para los errores que reúnan los requisitos es el equivalente a 2000 BMX.
  • Las recompensas por encima del mínimo se darán a nuestra discreción, pero pagaremos bastante más por problemas especialmente graves.
  • Solo se concede una recompensa por error.
Cómo informar de un error
  • Envíe el informe del ERROR a security@bitmart.com.
  • Procure incluir la mayor cantidad de información posible en su informe, incluida una descripción del error, su posible alcance y los pasos para reproducirlo o una prueba de concepto.
  • Incluya su nombre y enlace como desee que aparezcan en nuestro Salón de la fama (opcional).
  • Incluya su dirección BMX para el pago.
  • Espere 2 días hábiles para que le respondamos antes de enviar otro correo electrónico.