Receba BMX por encontrar bugs

Recompensa por bug

Nossa equipe de especialistas faz de tudo para eliminar os bugs do sistema, mas sempre existe a possibilidade de deixar algum escapar, o que poderia representar uma vulnerabilidade significativa. Se encontrar um bug, pedimos que você investigue e nos avise para que possamos resolver o problema o mais rápido possível. No caso de bugs significativos, oferecemos uma recompensa e nosso reconhecimento na Galeria da Fama (abaixo).

Investigação e relato responsáveis
A investigação e os relatos responsáveis incluem:
  • Não viole a privacidade de outros usuários, não destrua dados, não interrompa nossos serviços, etc.
  • No processo de investigação do bug, analise apenas as suas contas. Não tente acessar ou atrapalhar as contas de outros usuários.
  • Não investigue nossas medidas físicas de segurança, nem tente usar engenharia social, spam, ataques de negação de serviço (DDOS) distribuídos, etc.
  • Inicialmente, reporte o bug apenas para nós e não para outras pessoas.
  • Precisamos de um tempo razoável para corrigir o bug antes de divulgá-lo, além de um aviso adequado por escrito.
No geral, ao investigar e relatar bugs, faça um esforço razoável e de boa fé para não perturbar ou prejudicar nossos usuários ou a nossa empresa. Caso contrário, suas ações podem ser interpretadas como um ataque em vez de uma iniciativa para ajudar.
Qualificação
De modo geral, qualquer bug que represente uma vulnerabilidade significativa, seja para a segurança do nosso site ou para a integridade do sistema de negociação, pode se qualificar para receber a recompensa. No entanto, fica inteiramente a nosso critério decidir se um bug é significativo o suficiente para se qualificar para a recompensa.
Alguns problemas de segurança que normalmente se qualificariam (embora não necessariamente em todos os casos):
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Injeção de código
  • Execução remota de código
  • Elevação de privilégio
  • Desvio de autenticação
  • Sequestro de cliques
  • Vazamento de dados confidenciais
Casos que não se qualificam
Alguns casos que não se qualificam para recompensa são:
  • Vulnerabilidades em sites hospedados por terceiros (support.bitmart.com, etc.) a menos que levem a uma vulnerabilidade no site principal.
  • Vulnerabilidades dependentes de ataques físicos, engenharia social, spamming, ataques de DDOS, etc.
  • Vulnerabilidades que afetem navegadores desatualizados ou sem patch.
  • Vulnerabilidades em aplicativos de terceiros que utilizem a API da BitMart.
  • Bugs que não foram investigados e relatados de forma responsável.
  • Bugs já conhecidos ou já relatados por outra pessoa (a recompensa vai para quem relatar primeiro).
  • Problemas que não possam ser reproduzidos.
  • Problemas sobre os quais não temos poderes para tomar medidas.
Recompensa
  • A recompensa mínima para bugs qualificados é o equivalente a 2.000 BMX.
  • Recompensas acima do mínimo ficam a nosso critério, mas recompensaremos significativamente mais por problemas graves.
  • Apenas uma recompensa por bug.
Como relatar um bug
  • Envie o relato do bug para security@bitmart.com
  • Tente incluir o máximo de informações que puder em seu relato, incluindo uma descrição do bug, o possível impacto e etapas para reproduzi-lo ou uma prova de conceito.
  • Inclua seu nome e link como você gostaria que aparecesse na nossa Galeria da Fama (opcional).
  • Inclua seu endereço de BMX para o pagamento.
  • Aguarde 2 dias úteis para que possamos responder antes de enviar outro e-mail.