Програма Bug Bounty

Останнє оновлення: 26 січня 2022

Мета програми Bug Bounty – стимулювати активну участь трейдерів EXMO, а також сторонніх дослідників у виявленні вразливостей програмного забезпечення платформи EXMO.

Ми впевнені, що зовнішня оцінка безпеки так само важлива, як і внутрішнє тестування. Наша команда високо цінує ваші зусилля, спрямовані на те, щоб зробити EXMO ще надійнішою біржею. Програма Bug Bounty дозволяє отримувати винагороду за надання коректних звітів про помилки. Робімо внесок у безпеку сервісів EXMO разом!

Ми рекомендуємо використовувати власні інструменти для тестування наших систем.

Правила дослідження

Дотримуйтесь наведених нижче правил для коректного дослідження помилок та складання відповідного звіту про помилки:

• Не компрометуйте будь-які особисті дані, не переривайте та не погіршуйте роботу будь-яких сервісів.
• Не пошкоджуйте та не обмежуйте доступ до сервісів та інфраструктури EXMO.
• Виконуйте пошук помилок лише в межах програми.
• При дослідженні вразливостей налаштуйте таргетинг лише на свій обліковий запис і не змінюйте дані інших користувачів EXMO.
• Збирайте лише ту інформацію, яка потрібна для повідомлення про помилку.
• Уникайте використання автоматичних сканерів уразливостей, щоб не генерувати масовий трафік.
• Не спамте форми для створення облікових записів за допомогою автоматичних сканерів.
• Оперативно повідомляйте про знайдені помилки та/або уразливості в системах EXMO.
• Не розголошуйте конфіденційну інформацію EXMO та не повідомляйте подробиці про вразливості нікому, крім команди EXMO або HackenProof.
• Не використовуйте шкідливих методів соціальної інженерії.

У межах програми Bug Bounty

• Домен: exmo.com
• Піддомен: *.exmo.com
• API https://api.exmo.com
• Мобільні додатки:
  • https://play.google.com/store/apps/details?id=com.exmo;
  • https://apps.apple.com/ru/app/exmo-exchange/id1505496232.

Поза межами програми Bug Bounty

• Піддомен: info.exmo.com
• Піддомен: *.exmo.money
• Домени: support.exmoney.com; exmoney.zendesk.com

Входить до Bug Bounty

При проведенні дослідження безпеки звертайте увагу на такі класи вразливостей:

• Віддалене виконання коду (RCE)
• Вразливості, пов’язані з використанням SQL і XXE
• Проблеми з бізнес-логікою
• Маніпуляції з платежами
• Локальне та віддалене впровадження файлів
• Проблеми з контролем доступу (IDOR, підвищення привілеїв тощо)
• Витік конфіденційної інформації
• Підробка міжсайтових запитів (CSRF)
• Міжсайтовий скриптинг (XSS)
• Обхід каталогу
• Інші вразливості, що становлять потенційний ризик для бізнесу

Винятки

У межах програми Bug Bounty не розглядаються такі помилки та вразливості:

• Вразливості на сторонніх додатках
• Вразливості нульового дня (0day), виявлені нещодавно (менш як 30 днів)
• Уразливості, що стосуються користувачів застарілих браузерів або платформ
• Соціальна інженерія, фішинг чи інше шахрайство
• Питання передової практики
• Вразливості, пов’язані з активним контентом, таким як надбудови веббраузера
• Відмова в обслуговуванні (DoS/DDoS) та розсилка спаму (SMS, електронна пошта тощо)
• Більшість методів перебору, які не мають жодного явного впливу
• Загальнодоступні панелі входу без доказів експлуатації
• Розкриття загальнодоступної інформації користувача, а також неконфіденційної та помірно конфіденційної інформації
• Відсутність заголовка безпеки HTTP
• Відсутність прапора безпеки для невразливих файлів cookie
• Уразливості інфраструктури, у тому числі:
  • Проблеми, пов’язані з сертифікатами/TLS/SSL
  • Помилки сервера DNS (наприклад, записи MX, записи SPF, записи DMARC і т. д.)
  • Помилки конфігурації сервера (наприклад, відкриті порти, TLS тощо)
• Уразливості, пов’язані з “перерахуванням” користувачів
• Self-XSS, який не можна використовувати для експлуатації інших користувачів
• Вхід та вихід з CSRF
• Слабка капча
• Перелік імені користувача/електронної пошти через повідомлення про помилки на сторінці реєстрації CSRF у формах, доступних анонімним користувачам (наприклад, контактна форма)
• Увімкнено HTTP метод OPTIONS/TRACE
• Помилки із заголовком хоста без підтвердження концепції, що демонструє вразливість
• Проблеми зі спуфінгом контенту та впровадженням тексту без зображення вектора атаки або без можливості модифікувати HTML/CSS
• Спуфінг контенту без вбудованих посилань/HTML
• Завантаження відображеного файлу (RFD)
• Змішаний контент HTTP
• Змішані скрипти протоколів https
• MitM та локальні атаки
• Повідомлення про те, що програмне забезпечення застаріло або вразливе без підтвердження концепції
• Звіти, створені автоматичними сканерами або інструментами експлуатації
• Програмне забезпечення чи протоколи, які EXMO не контролює
• Теоретичні проблеми та баги, які нам уже відомі

Якщо ви виявили проблему безпеки, яка безпосередньо впливає на криптовалюту та/або її компоненти (наприклад, блокчейн, вузол, гаманець), переконайтеся, що ви повідомили про неї відповідній команді проєкту.

Винятки для мобільного додатка EXMO

Що стосується нашого мобільного додатка, то ми не розглядаємо такі класи вразливостей:

• Атаки, які потребують фізичного доступу до пристрою користувача
• Вразливості, що потребують рута/джейлбрейка або інтенсивної взаємодії з користувачем
• Розкриття неконфіденційних даних на пристрої
• Звіти статичного аналізу бінарника без PoC, які впливають на бізнес-логіку
• Відсутність обфускації/бінарного захисту/виявлення root (джейлбрейка)
• Обхід закріплення сертифіката на кореневих пристроях
• Відсутність засобів захисту від експлойтів, таких як PIE, ARC або Stack Canaries
• Конфіденційні дані в URL-адресах/тілах запитів захисту TLS
• Розкриття колії в бінарнику
• OAuth і секрет OAuth, що жорстко запрограмовані/відновлюються в IPA, APK
• Конфіденційна інформація, яка зберігається у вигляді відкритого тексту в пам’яті пристрою
• Збої через спотворені схеми URL-адрес або наміри, відправлені експортованим приймачам (використання їх для витоку конфіденційних даних зазвичай входить в межі програми)
• Конфіденційні дані, що зберігаються в особистому каталозі програми
• Загальні посилання, що просочилися через системний буфер обміну
• Витік будь-яких URI через те, що шкідлива програма має дозвіл на перегляд відкритих URI даних
• Розкриття ключів API, яке не впливає на безпеку (ключі API Карт Google і т.д.)

Надсилання повідомлення про помилку

Будь ласка, надсилайте звіти про помилки на електронну пошту [email protected] Наша технічна команда зв’яжеться з вами найближчим часом, якщо помилка буде визнана. Включіть у своє повідомлення якомога більше інформації, щоб ми могли детально вивчити помилку, оцінити та розглянути її потенційний вплив. Також, будь ласка, додайте у ваше повідомлення про помилку інструкцію та/або коди підтвердження концепції (proof-of-concept).

Ви також можете надіслати звіт про помилку на сторінці нашого партнера. HackenProof – це провідна web3 платформа для пошуку помилок та координації вразливостей.

Нагороди

Мінімальна нагорода за зареєстровану та підтверджену помилку становить $50. Якщо ми вважаємо, що виявлена ​​помилка має високий рівень технічної небезпеки, ми заплатимо до $3000.

• Критичний: $2500–3000
• Високий: $1000–2000
• Середній: $500-1000
• Низький: $50–250

Гарантія безпеки

Будь-які дії з дослідження помилок, які ви проводите згідно з програмою Bug Bounty, будуть розглядатися нами як санкціоновані, і ми не будемо порушувати проти вас судовий позов.

Юридична примітка

Програма Bug Bounty не поширюється на осіб, включених до списку санкцій, або осіб в країнах, що входять до списку санкцій (детальнішу інформацію дивіться в нашій Угоді користувача). Ви також несете одноосібну відповідальність за сплату будь-яких податків щодо винагороди та зобов’язані дотримуватись усіх застосовних законів.

Ми залишаємо за собою право змінювати умови програми Bug Bounty або припинити її будь-коли.

Зверніть увагу, що ми реєструємо ваші особисті дані під час обробки звітів про помилки. Якщо ви хочете повідомити проблему анонімно, вкажіть це в повідомленні.

Враховуючи конфіденційний характер можливих помилок, ми дозволяємо розкривати їх тільки після того, як їх було виправлено, всі деталі розкриття були затверджені, і в них не було включено конфіденційну інформацію.