Мы ценим ответственность и своевременную отчетность
Быть ответственным, среди всего прочего, означает следующее:
- Не нарушать конфиденциальность других пользователей, не уничтожать данные, не нарушать работу наших сервисов и т. д.
- В процессе поиска багов работать только с собственными счетами. Не отслеживать счета других пользователей, не пытаться получить к ним доступ или иным образом навредить им.
- Не атаковать наши меры физической защиты, не пытаться использовать технику социальной инженерии, спам, распределенные атаки типа «отказ в обслуживании» (DDOS) и т. д.
- Сообщать о баге только нам, и больше никому.
- Дать нам разумное количество времени на исправление бага, прежде чем раскрывать данные о нем кому-либо еще, и предупреждать нас в письменном виде о том, что вы собираетесь раскрыть данные о нем кому-либо еще.
В общем и целом мы просим вас сообщать нам о найденных багах таким образом, чтобы вами при этом соблюдались принципы добросовестности и вы не вредили ни нам, ни нашим пользователям. В противном случае ваши действия могут быть истолкованы как атака на наши сервисы, а не как попытка помочь.
Условия для получения вознаграждения
Как правило, за выявление любых багов, которые представляют серьезный риск для безопасности нашего сайта либо целостности нашей торговой системы, полагается вознаграждение. Тем не менее, наша команда сама решает, является ли найденный баг достаточно серьезным, чтобы мы выплатили за него вознаграждение.
Некоторые из уязвимостей системы безопасности, за выявление которых обычно (хоть и не всегда) полагается вознаграждение:
- Межсайтовая подделка запросов (CSRF)
- Межсайтовое выполнение скриптов (XSS)
- Внедрение кода
- Выполнение удаленного кода
- Повышение уровня полномочий пользователя
- Обход процедуры аутентификации
- Кликджекинг
- Утечка конфиденциальных данных
За что не предусмотрено вознаграждение
За выявление следующих уязвимостей, как правило, вознаграждение не полагается:
- Уязвимости на сайтах третьих лиц (support.bitmart.com, и т. д.), если только с ними не связаны уязвимости на основном сайте.
- Уязвимости, связанные с ошибками непосредственной защиты, применением техник социальной инженерии, рассылкой спама, DDOS-атакой и т. д.
- Уязвимости, актуальные при работе через непропатченные браузеры или браузеры устаревших версий.
- Уязвимости в сторонних приложениях, использующих API BitMart.
- Баги, которые были выявлены с нарушением принципов ответственности и своевременной отчетности.
- Баги, о которых нам уже известно, или о которых нам уже сообщили ранее (вознаграждение полагается первому сообщившему о баге пользователю).
- Невоспроизводимые баги.
- Проблемы, по поводу которых от нас объективно не требуется никаких действий.
Вознаграждение
- Минимальное вознаграждение за серьезные выявленные баги составляет 2000 BMX
- По своему усмотрению мы можем выплатить пользователю бо́льшую сумму; за выявление особо серьезных проблем мы заплатим значительно больше.
- За один найденный баг полагается только одно вознаграждение.
Как сообщить о баге
- Отправьте отчет об ошибке по адресу security@bitmart.com.
- Постарайтесь включить в отчет как можно больше информации: в частности, опишите ошибку и ее потенциальные последствия, а также напишите, как ее воспроизвести, или приведите доказательство ее существования.
- Укажите свое имя и ссылку на ваш профиль, чтобы мы указали эти сведения в нашем Зале славы (по желанию).
- Укажите адрес своего BMX-кошелька для оплаты.
- Прежде чем отправлять еще одно письмо, подождите нашего ответа в течение 2 рабочих дней.
