EnУкраинскийПольскийRu
Португальский

Программа Bug Bounty

December 19, 2022

Цель программы Bug Bounty – стимулировать активное участие трейдеров EXMO.com, а также сторонних исследователей в обнаружении уязвимостей программного обеспечения платформы EXMO.com.

Мы уверены, что внешняя оценка безопасности так же важна, как и внутреннее тестирование. Наша команда высоко ценит ваши усилия, направленные на то, чтобы сделать EXMO.com еще более надежной биржей.

Программа Bug Bounty позволяет получать вознаграждение за предоставление корректных отчетов об ошибках. Давайте вносить вклад в безопасность сервисов EXMO.com вместе!

Мы рекомендуем использовать ваши собственные инструменты при тестировании наших систем.

Правила исследования

Следуйте приведенным ниже правилам для корректного исследования ошибок и составления соответствующего отчета об ошибках:

  • Не компрометируйте какие-либо личные данные, не прерывайте и не ухудшайте работу каких-либо сервисов.
  • Не наносите ущерб и не ограничивайте доступ к сервисам и инфраструктуре EXMO.com.
  • Выполняйте поиск ошибок только в рамках программы, указанной ниже.
  • При исследовании уязвимостей нацеливайтесь только на свою учетную запись и не изменяйте данные других пользователей EXMO.com.
  • Собирайте только ту информацию, которая необходима для сообщения об ошибке.
  • Избегайте использования автоматических сканеров уязвимостей, чтобы не генерировать массовый трафик.
  • Не спамьте формы или процессы создания учетных записей, используя автоматизированные сканеры.
  • Оперативно сообщайте о найденных ошибках и/или уязвимостях в системах EXMO.com.
  • Не разглашайте конфиденциальную информацию EXMO.com и не сообщайте подробности об уязвимостях никому кроме команды EXMO.com или HackenProof.
  • Избегайте использования уязвимостей DoS/DDoS, атак социальной инженерии или спама.

Область действия программы Bug Bounty

  • Домен: exmo.com
  • Поддомен: *.exmo.com
  • API https://api.exmo.com
  • Мобильные приложения:
    https://play.google.com/store/apps/details?id=com.exmo;
    https://apps.apple.com/ru/app/exmo-exchange/id1505496232.

Вне области действия программы Bug Bounty

  • Поддомен: info.exmo.com
  • Домен и поддомен: *.exmo-coin.exmo.com
  • Домены: support.exmoney.com; exmoney.zendesk.com

Включено в Bug Bounty

При проведении исследования безопасности, обращайте внимание на следующие классы уязвимостей:

  • Удаленное выполнение кода (RCE)
  • Уязвимости, связанные с внедрением SQL и XXE
  • Проблемы с бизнес-логикой
  • Манипуляции с платежами
  • Локальное и удаленное внедрение файлов
  • Проблемы с контролем доступа (IDOR, повышение привилегий и т. д.)
  • Утечка конфиденциальной информации
  • Подделка межсайтовых запросов (CSRF)
  • Подделка запросов на стороне сервера (SSRF)
  • Межсайтовый скриптинг (XSS)
  • Обход каталога
  • Другие уязвимости, представляющие потенциальный риск для бизнеса

Исключения

В рамках программы Bug Bounty не рассматриваются следующие ошибки и уязвимости:

  • Уязвимости в сторонних приложениях
  • Уязвимости нулевого дня (0 day), обнаруженные недавно (менее 30 дней назад)
  • Уязвимости, затрагивающие пользователей устаревших браузеров или платформ
  • Социальная инженерия, фишинг или другое мошенничество
  • Проблемы передовых практик
  • Уязвимости, связанные с активным контентом, таким как дополнения веб-браузера
  • Отказ в обслуживании (DoS/DDoS) и рассылка спама (SMS, электронная почта и т.д.)
  • Большинство методов перебора не имеющих какого-либо явного воздействия
  • Общедоступные панели входа без доказательств эксплуатации
  • Раскрытие общедоступной пользовательской информации, а также неконфиденциальной и умеренно конфиденциальной информации
  • Отсутствие заголовка безопасности HTTP
  • Отсутствие флага безопасности для неуязвимых файлов cookie
  • Уязвимости инфраструктуры, в том числе:
    – Неполадки, связанные с сертификатами/TLS/SSL
    – Ошибки DNS сервера (например, записи MX, записи SPF, записи DMARC и т. д.)
    – Ошибки конфигурации сервера (например, открытые порты, TLS и т. д.)
  • Уязвимости, связанные с поиском пользователей
  • Self-XSS, который нельзя использовать для эксплуатации других пользователей
  • Вход и выход из CSRF
  • Слабая капча
  • Поиск имени пользователя/электронной почты через сообщения об ошибках на странице регистрации
  • CSRF в формах, доступных анонимным пользователям (например, контактная форма)
  • Включен HTTP метод OPTIONS/TRACE
  • Ошибки с заголовком хоста без подтверждения концепции, демонстрирующей уязвимость
  • Проблемы со спуфингом контента и внедрением текста без отображения вектора атаки или без возможности модифицировать HTML/CSS
  • Спуфинг контента без встроенных ссылок/HTML
  • Отраженная загрузка файла (RFD)
  • Смешанный HTTP-контент
  • Смешанные скрипты протоколов HTTPS
  • MitM и локальные атаки
  • Сообщения о том, что программное обеспечение устарело или уязвимо без подтверждения концепции
  • Отчеты, созданные автоматическими сканерами или инструментами эксплуатации
  • Программное обеспечение или протоколы, которые EXMO.com не контролирует
  • Теоретические проблемы и баги, которые нам уже известны

Если вы обнаружили проблему безопасности, которая напрямую влияет на криптовалюту и/или ее компоненты (например, блокчейн, узел, кошелек), убедитесь, что вы сообщили о ней непосредственно соответствующей команде проекта.

Исключения для мобильного приложения EXMO.com

Что касается нашего мобильного приложения, то мы не рассматриваем следующие классы уязвимостей:

  • Атаки, требующие физического доступа к устройству пользователя
  • Уязвимости, требующие рута/джейлбрейка или интенсивного взаимодействия с пользователем
  • Раскрытие нечувствительных данных на устройстве
  • Отчеты статического анализа бинарного кода без PoC, которые влияют на бизнес-логику
  • Отсутствие обфускации/защиты бинарного кода/обнаружения root (jailbreak)
  • Обход проверки сертификата на устройствах с правами root
  • Отсутствие средств защиты от эксплойтов, таких как PIE, ARC или Stack Canaries
  • Чувствительные данные в URL-адресах/телах запросов при защите TLS
  • Раскрытие пути в бинарном коде
    OAuth и секрет OAuth, жестко запрограммированные/восстанавливаемые в IPA, APK
  • Конфиденциальная информация, которая сохраняется в виде открытого текста в памяти устройства
  • Сбои из-за искаженных схем URL-адресов или намерений, отправленных экспортированным приемникам (использование их для утечки конфиденциальных данных обычно входит в область действия)
  • Конфиденциальные данные, хранящиеся в личном каталоге приложения
  • Хакерские эксплоиты Runtime с использованием таких инструментов, как Frida/AppMon, но не ограничиваясь ими (эксплойты возможны только в взломанной среде)
  • Общие ссылки, которые просочились через системный буфер обмена
  • Утечка любых URI по причине того, что вредоносное приложение имеет разрешение на просмотр открытых URI данных
  • Раскрытие ключей API, которое не влияет на безопасность (ключи API Карт Google и т. д.)

Отправка сообщения об ошибке

Пожалуйста, отправляйте отчеты об ошибках на электронную почту [email protected]. Наша техническая команда свяжется с вами в ближайшее время, если ошибка будет ими признана. Включите в свое сообщение как можно больше информации, чтобы мы могли подробно изучить ошибку, оценить ее и рассмотреть ее потенциальное воздействие. Также, пожалуйста, включите в ваше сообщение об ошибке инструкцию и/или коды подтверждения концепции (proof-of-concept). Если вы хотите, чтобы ваше имя было добавлено на “Доску почета”, укажите это в своем сообщении об ошибке.

Вы также можете отправить отчет об ошибке на странице нашего партнера. HackenProof — это ведущая web3 платформа для поиска ошибок и координации уязвимостей.

Награды

Минимальная награда за зарегистрированную и подтвержденную ошибку составляет $50. Если мы посчитаем, что обнаруженная ошибка имеет высокий уровень технической опасности, мы заплатим вам до $3000. Мы оставляем за собой право увеличить или уменьшить размер вознаграждения в зависимости от серьезности обнаруженной уязвимости.
Ниже представлены примерные вознаграждения за обнаружение уязвимостей разного уровня технической опасности:

  • Критический: $2 500–3 000
  • Высокий: $1 000–2 000
  • Средний: $500–1 000
  • Низкий: $50–250

Гарантия безопасности

Любые действия по исследованию ошибок, проводимые вами в соответствии с программой Bug Bounty, будут рассматриваться нами как санкционированные, и мы не будем возбуждать против вас судебный иск или обращаться в правоохранительные органы для расследования случаев нарушения безопасности исследователями, если такие исследователи соблюдали политику ответственного раскрытия информации, описанную в этой программе Bug Bounty.

Политика ответственного раскрытия информации

  • Предоставьте подробную информацию об уязвимости, включая информацию, необходимую для воспроизведения и проверки уязвимости.
  • Делайте все возможное, чтобы избежать нарушений конфиденциальности, удаления данных, прерывания или снижения качества наших услуг.
    Не изменяйте и не получайте доступ к данным, которые вам не принадлежат.
  • Сообщите об уязвимости в кратчайшие сроки.
  • Не используйте обнаруженные уязвимости для неосновательного обогащения. Если вы используете уязвимость таким образом, что это может навредить EXMO.com, пользователям нашей платформы или третьим лицам, и не сообщаете нам о найденной уязвимости, вы не получите вознаграждение. Мы также оставляем за собой право подать против вас судебный иск.
  • Не нарушайте закон и действуйте в рамках установленных выше правил.
  • Если вы обнаружите личную информацию или другие чувствительные данные учетных записей или взлом данных другими лицами, пожалуйста, немедленно прекратите использовать эти данные и сообщите об этом в EXMO.com по адресу электронной почты [email protected]. Не храните и не передавайте данные других пользователей, а также уничтожайте все копии данных, которые не принадлежат вам и которые вы случайно или преднамеренно получили в ходе своего исследования.
  • После отправки отчета никому и нигде не рассказывайте о найденной уязвимости. Публичное раскрытие уязвимости лишает вас права на вознаграждение. Кроме того, не храните скриншоты и/или исполняемые коды и скрипты, связанные с уязвимостью, чтобы информация не попала к третьим лицам.

Юридическое примечание

Программа Bug Bounty не распространяется на лица, включенные в санкционные списки, или лица в странах, входящих в санкционные списки (более подробную информацию смотрите в нашем Пользовательском соглашении). Вы также несете единоличную ответственность за уплату любых налогов в отношении вознаграждения и обязаны соблюдать все применимые законы.

Мы оставляем за собой право изменять условия программы Bug Bounty или прекращать ее в любое время.

Обратите внимание, что мы регистрируем ваши личные данные при обработке отчетов об ошибках. Если вы хотите сообщить о проблеме анонимно, укажите это в сообщении.

Учитывая конфиденциальный характер возможных ошибок, мы разрешаем раскрывать их только после того, как они были исправлены, все детали раскрытия были утверждены, и в них не была включена конфиденциальная информация.