Програма Bug Bounty

Мета програми Bug Bounty – стимулювати активну участь трейдерів EXMO.com, а також сторонніх дослідників у виявленні вразливостей програмного забезпечення платформи EXMO.com.

Ми впевнені, що зовнішня оцінка безпеки така ж важлива, як і внутрішнє тестування. Наша команда високо цінує ваші зусилля, спрямовані на те, щоб зробити EXMO.com ще надійнішою біржею. Програма Bug Bounty дозволяє отримувати винагороду за надання коректних звітів про помилки. Давайте робити внесок у безпеку сервісів EXMO.com разом!

Ми рекомендуємо використовувати власні інструменти при тестуванні наших систем.

Правила дослідження

Дотримуйтесь наведених нижче правил для коректного дослідження помилок та складання відповідного звіту про помилки:

• Не компрометуйте будь-які особисті дані, не переривайте та не погіршуйте роботу будь-яких сервісів.
• Не завдавайте шкоди та не обмежуйте доступ до сервісів та інфраструктури EXMO.com.
• Виконуйте пошук помилок лише в рамках програми, наведеної нижче.
• При дослідженні вразливостей націлюйтеся лише на свій обліковий запис та не змінюйте дані інших користувачів EXMO.com.
• Збирайте лише ту інформацію, яка потрібна для повідомлення про помилку.
• Уникайте використання автоматичних сканерів уразливостей, щоб не генерувати масовий трафік.
• Не спамайте форми або процеси створення облікових записів за допомогою автоматизованих сканерів.
• Оперативно повідомляйте про знайдені помилки та/або уразливості в системах EXMO.com.
• Не розголошуйте конфіденційну інформацію EXMO.com та не повідомляйте подробиці про вразливості нікому, крім команди EXMO.com або HackenProof.
• Уникайте використання вразливостей DoS/DDoS, атак соціальної інженерії чи спаму.

Область дії програми Bug Bounty

• Домен: exmo.com
• Піддомен: *.exmo.com
• API https://api.exmo.com
• Мобільні додатки:
  • https://play.google.com/store/apps/details?id=com.exmo;
  • https://apps.apple.com/ru/app/exmo-exchange/id1505496232.

Поза діяльністю програми Bug Bounty

• Піддомен: info.exmo.com
• Домен та піддомен: *.exmo.money
• Домени: support.exmoney.com; exmoney.zendesk.com

Включено до Bug Bounty

При проведенні дослідження безпеки звертайте увагу на такі класи вразливостей:

• Віддалене виконання коду (RCE)
• Вразливості, пов’язані з використанням SQL і XXE
• Проблеми з бізнес-логікою
• Маніпуляції з платежами
• Локальне та віддалене впровадження файлів
• Проблеми з контролем доступу (IDOR, підвищення привілеїв тощо)
• Витік конфіденційної інформації
• Підробка міжсайтових запитів (CSRF)
• Підробка запитів на стороні сервера (SSRF)
• Міжсайтовий скриптинг (XSS)
• Обхід каталогу
• Інші вразливості, що становлять потенційний ризик для бізнесу

Винятки

У рамках програми Bug Bounty не розглядаються такі помилки та вразливості:

• Вразливості у сторонніх додатках
• Вразливості нульового дня (0 day), виявлені нещодавно (менше 30 днів тому)
• Уразливості, що зачіпають користувачів застарілих браузерів або платформ
• Соціальна інженерія, фішинг чи інше шахрайство
• Проблеми передових практик
• Уразливості, пов’язані з активним контентом, таким як доповнення веб-браузера
• Відмова в обслуговуванні (DoS/DDoS) та розсилка спаму (SMS, електронна пошта тощо)
• Більшість методів перебору не мають жодного явного впливу
• Загальнодоступні входові панелі без доказів експлуатації
• Розкриття загальнодоступної інформації користувача, а також неконфіденційної та помірно конфіденційної інформації
• Відсутність заголовка безпеки HTTP
• Відсутність прапора безпеки для невразливих файлів cookie
• Уразливості інфраструктури, у тому числі:
  • Проблеми, пов’язані з сертифікатами/TLS/SSL
  • Помилки сервера DNS (наприклад, записи MX, записи SPF, записи DMARC і т. д.)
  • Помилки конфігурації сервера (наприклад, відкриті порти, TLS тощо)
• Уразливості, пов’язані з пошуком користувачів
• Self-XSS, який не можна використовувати для експлуатації інших користувачів
• Вхід та вихід з CSRF
• Слабка капча
• Пошук імені користувача/електронної пошти через повідомлення про помилки на сторінці реєстрації
• CSRF у формах, доступних анонімним користувачам (наприклад, контактна форма)
• Увімкнено HTTP метод OPTIONS/TRACE
• Помилки із заголовком хоста без підтвердження концепції, що демонструє вразливість
• Проблеми зі спуфінгом контенту та впровадженням тексту без відображення вектора атаки або без можливості модифікувати HTML/CSS
• Спуфінг контенту без вбудованих посилань/HTML
• Відображене завантаження файлу (RFD)
• Змішаний контент HTTP
• Змішані скрипти протоколів HTTPS
• MitM та локальні атаки
• Повідомлення про те, що програмне забезпечення застаріло або вразливе без підтвердження концепції
• Звіти, створені автоматичними сканерами або інструментами експлуатації
• Програмне забезпечення чи протоколи, які EXMO.com не контролює
• Теоретичні проблеми та баги, які нам уже відомі

Якщо ви виявили проблему безпеки, яка безпосередньо впливає на криптовалюту та/або її компоненти (наприклад, блокчейн, вузол, гаманець), переконайтеся, що ви повідомили про неї безпосередньо відповідну команду проекту.

Винятки для мобільного додатка EXMO.com

Що стосується нашого мобільного додатка, то ми не розглядаємо наступні класи вразливостей:

• Атаки, які потребують фізичного доступу до пристрою користувача
• Уразливості, що вимагають рута/джейлбрейка або інтенсивної взаємодії з користувачем
• Розкриття нечутливих даних на пристрої
• Звіти статичного аналізу бінарного коду без PoC, які впливають на бізнес-логіку
• Відсутність обфускації/захисту бінарного коду/виявлення root (jailbreak)
• Обхід перевірки сертифіката на пристроях з правами root
• Відсутність засобів захисту від експлойтів, таких як PIE, ARC або Stack Canaries
• Чутливі дані в URL-адресах/тілах запитів захисту TLS
• Розкриття шляху у бінарному коді
• OAuth і секрет OAuth, що жорстко запрограмовані/відновлюються в IPA, APK
• Конфіденційна інформація, яка зберігається у вигляді відкритого тексту в пам’яті пристрою
• Збої через спотворені схеми URL-адрес або намірів, відправлених експортованим приймачам (використання їх для витоку конфіденційних даних зазвичай входить в область дії)
• Конфіденційні дані, що зберігаються в особистому каталозі програми
• Хакерські експлоїти Runtime з використанням таких інструментів, як Frida/AppMon, але не обмежуючись ними (експлойти можливі лише у зламаному середовищі)
• Загальні посилання, що просочилися через системний буфер обміну
• Витік будь-яких URI через те, що шкідлива програма має дозвіл на перегляд відкритих URI даних
• Розкриття ключів API, яке не впливає на безпеку (ключи API Карт Google і т.д.)

Надсилання повідомлення про помилку

Будь ласка, надсилайте звіти про помилки на електронну пошту [email protected]. Наша технічна команда зв’яжеться з вами найближчим часом, якщо помилка буде визнана ними. Включіть у своє повідомлення якомога більше інформації, щоб ми могли детально вивчити помилку, оцінити її та розглянути її потенційний вплив. Також, будь ласка, включіть у ваше повідомлення про помилку інструкцію та/або коди підтвердження концепції (proof-of-concept). Якщо ви бажаєте, щоб ваше ім’я було додано на “Дошку пошани”, вкажіть це у своєму повідомленні про помилку.

Ви також можете надіслати звіт про помилку на сторінці нашого партнера . HackenProof – це провідна web3 платформа для пошуку помилок та координації вразливостей.

Нагороди

Мінімальна нагорода за зареєстровану та підтверджену помилку становить $50. Якщо ми вважаємо, що виявлена помилка має високий рівень технічної небезпеки, ми заплатимо до $3 000. Ми залишаємо за собою право збільшити або зменшити розмір винагороди, залежно від серйозності виявленої вразливості.

Нижче представлені зразкові винагороди за виявлення вразливостей різного рівня технічної небезпеки:

• Критичний: $2 500 – 3 000
• Високий: $1 000 – 2 000
• Середній: $500 – 1 000
• Низький: $50 – 250

Гарантія безпеки

Будь-які дії з дослідження помилок, які ви проводите відповідно до програми Bug Bounty, будуть розглядатися нами як санкціоновані, і ми не будемо порушувати проти вас судовий позов або звертатися до правоохоронних органів для розслідування випадків порушення безпеки дослідниками, якщо такі дослідники дотримувалися політики відповідального розкриття інформації. , описаний у цій програмі Bug Bounty.

Політика відповідального розкриття інформації

• Надайте детальну інформацію про вразливість, включаючи інформацію, необхідну для відтворення та перевірки вразливості.
• Робіть все можливе, щоб уникнути порушень конфіденційності, видалення даних, переривання чи зниження якості наших послуг.
• Не змінюйте та не отримуйте доступ до даних, які вам не належать.
• Повідомте про вразливість у найкоротші терміни.
• Не використовуйте виявлені вразливості для безпідставного збагачення. Якщо ви використовуєте вразливість таким чином, що це може зашкодити EXMO.com, користувачам нашої платформи або третім особам, та не повідомляєте нам про знайдену вразливість, ви не отримаєте винагороду. Ми також залишаємо за собою право подати проти вас судовий позов.
• Не порушуйте закон та дійте в рамках встановлених вище правил.
• Якщо ви знайдете особисту інформацію або інші чутливі дані облікових записів або зламування даних іншими особами, будь ласка, негайно припиніть використовувати ці дані та повідомте про це в EXMO.com на адресу електронної пошти [email protected]. Не зберігайте та не передавайте дані інших користувачів, а також знищуйте всі копії даних, які не належать вам і які ви випадково чи навмисно отримали під час свого дослідження.
• Після надсилання звіту нікому і ніде не розповідайте про знайдену вразливість. Громадське розкриття вразливості позбавляє вас права на винагороду. Крім того, не зберігайте скріншоти та/або коди та скрипти, що виконуються, пов’язані з вразливістю, щоб інформація не потрапила до третіх осіб.

Юридична примітка

Програма Bug Bounty не поширюється на особи, включені до списку санкцій, або особи в країнах, що входять до списку санкцій (детальнішу інформацію дивіться в нашій Угоді користувача). Ви також несете одноосібну відповідальність за сплату будь-яких податків щодо винагороди та зобов’язані дотримуватися всіх застосовних законів.

Ми залишаємо за собою право змінювати умови програми Bug Bounty або припиняти її будь-коли.

Зверніть увагу, що ми реєструємо ваші особисті дані під час обробки звітів про помилки. Якщо ви хочете повідомити проблему анонімно, вкажіть це в повідомленні.

Враховуючи конфіденційний характер можливих помилок, ми дозволяємо розкривати їх тільки після того, як їх було виправлено, всі деталі розкриття були затверджені, і в них не було включено конфіденційну інформацію.