Відповідальне розслідування та звітність
Відповідальне розслідування та звітування включає, але не обмежується наступним:
- Не порушуйте конфіденційність інших користувачів, не пошкоджуйте дані, не порушуйте роботу наших сервісів тощо.
- У процесі розслідування помилки перевіряйте лише власні акаунти. Не націлюйтеся на акаунти інших користувачів, не намагайтеся отримати до них доступ і не порушуйте їх роботу іншим чином.
- Не намагайтеся обійти наші заходи фізичного захисту, не використовуйте соціальну мережу, спам, розподілені атаки типу "відмова в обслуговуванні" (DDOS) і т.д.
- Спочатку повідомляйте про помилку тільки нам, а не комусь іншому.
- Дайте нам достатньо часу для виправлення помилки, перш ніж розголошувати її комусь іншому, і надайте нам адекватне письмове повідомлення, перш ніж розголошувати її комусь іншому.
Загалом, будь ласка, досліджуйте та повідомляйте про помилки таким чином, щоб вони не заважали та не завдавали шкоди нам або нашим користувачам. Інакше ваші дії можуть бути витлумачені як напад, а не намагання допомогти.
Право на участь
Взагалі кажучи, будь-яка помилка, яка створює значну вразливість або для безпеки нашого сайту, або для цілісності нашої торгової системи, може претендувати на винагороду. Але ми на власний розсуд вирішуємо, чи є баг достатньо важливим, щоб отримати винагороду.
Питання безпеки, які, як правило, є прийнятними (хоча не обов'язково у всіх випадках), включають в себе наступні:
- Підробка міжсайтових запитів (CSRF)
- Міжсайтовий скриптинг (XSS)
- Введення коду
- Віддалене виконання коду
- Підвищення привілеїв
- Обхід автентифікації
- Clickjacking
- Витік конфіденційних даних
Невідповідність вимогам
Речі, які не підлягають винагороді, включають в себе:
- Уразливості на сайтах, розміщених на хостингу третіх осіб (support.bitmart.com, тощо), якщо вони не призводять до уразливостей на основному сайті.
- Вразливості залежать від фізичної атаки, соціальної інженерії, спаму, DDOS-атак тощо.
- Уразливості в застарілих або невиправлених браузерах.
- Уразливості в сторонніх додатках, що використовують API BitMart.
- Помилки, які не були відповідально досліджені та повідомлені.
- Баги, які вже відомі нам, або про які вже повідомляв хтось інший (винагорода йде першому повідомнику).
- Проблеми, які неможливо відтворити.
- Проблеми, з якими від нас нічого не можна очікувати.
Нагорода
- Мінімальна винагорода за прийнятний баг - еквівалент 2000 BMX
- Винагороди понад мінімальні залишаються на наш розсуд, але за особливо серйозні проблеми ми заплатимо значно більше.
- Лише одна нагорода за один баг.
Як повідомити про помилку
- Будь ласка, надсилайте звіт BUG на адресу security@bitmart.com
- Намагайтеся включити в свій звіт якомога більше інформації, в тому числі опис помилки, її потенційний вплив і кроки для її відтворення або підтвердження концепції.
- Додайте своє ім'я та посилання так, як ви хотіли б, щоб воно з'явилося на нашій Стіні слави (необов'язково).
- Вказуйте свою BMX адресу для оплати.
- Будь ласка, зачекайте 2 робочі дні, щоб ми відповіли, перш ніж надсилати наступний лист.