يهدف برنامج
CoinEx Secure Bounty إلى توفير منصة تداول عملات رقمية آمنة ومستقرة وفعالة للمستخدمين في جميع أنحاء العالم. وفقا لمستوى التهديد الذي تمثله الثغرات المحتملة، هناك ثلاثة مستويات من L1 إلى L3 ، ويمكن أن تصل مكافأة الثغرات إلى ما يصل إلى 10000 USDT لتشجيع المزيد من المستخدمين والقبعات البيضاء على على الكشف عن الثغرات الأمنية في المنصة وإبداء التعليقات بشأنها.
فيما يلي المبادئ الأساسية لبرنامج مكافآت CoinEx Security Bounty ومعايير المكافآت والتقييم.
أولا: المبادئ الأساسية
1. يقبل برنامج مكافآت أمان CoinEx فقط التقارير الخاصة بالثغرات الأمنية الموجودة على موقع CoinEx الرسمي http://www.coinex.com.
2. من أجل المتابعة الفعالة، قد تحتاج كوين إكس إلى مساعدة الباحث الأمني لإعادة إظهار المشكلة معاً؛
3. تشجع كوين إكس عمليات الكشف عن الثغرات ومعالجتها بطريقة مسؤولة، وتتعهد بتقديم الشكر والتعليقات لكل مستخدم يلتزم بروح القبعة البيضاء، ويحمي مصالح المستخدمين ويساعد كوين إكس على تحسين جودة الأمان؛
4. ترفض كوين إكس وتدين جميع أعمال القرصنة التي تستخدم اختبار الثغرات كذريعة حيث تستخدم الثغرات الأمنية لإلحاق الضرر بمصالح المستخدمين، بما في ذلك، على سبيل المثال لا الحصر، استغلال هذه الثغرات لسرقة خصوصية المستخدمين وممتلكاتهم الافتراضية، واختراق أنظمة الأعمال، وسرقة بيانات المستخدمين، ونشر المعلومات الكيدية ؛
5. ترفض كوين إكس وتدين أي استخدام للثغرات الأمنية لتخويف المستخدمين ومهاجمة المنافسين ؛
6. تحتفظ CoinEx بالحق في التفسير النهائي لبرنامج مكافآت الأمان.
ثانيا: المكافآت ومعايير التقييم
المستوى | المكافأة |
المستوى الأول | 200-1,000 USDT |
المستوى الثاني | 1,500-4,000 USDT |
المستوى الثالث | 5,000-10,000 USDT |
- المستوى 1
التعريف: هذا المستوى محدود الخطورة أو هناك خطر أمني.
الفئة:
(1) هناك مخاطر أمنية مثل إساءة استخدام واجهة رمز التحقق، الهجمات العنيفة على كلمة المرور وكود التحقق ؛
(2) العمليات غير الحساسة مثل هجوم CSRF وتزوير البريد الإلكتروني SPF وغيرها من الثغرات الأقل ضررًا ؛
(3) الثغرات التي تؤثر على توافر النظام واستقراره، مما يؤدي إلى عدم استجابة النظام بشكل سليم.
- المستوى 2
التعريف: يهدد هذا المستوى أمان المعلومات أو الأصول الحساسة ويمكن أن يتسبب في مجموعة من التأثيرات أو بعض خسائر الأصول.
الفئة:
(1) التأثير على بعض المستخدمين، مما يتسبب في تسرب المعلومات الحساسة للمستخدمين، أو تجاوز حدود السلطة لتنفيذ عمليات حساسة، مثل هجمات XSS، وCSRF وغيرها من الثغرات؛
(2) الحصول على إذن الوصول إلى حساب المستخدم باستخدام الثغرات في الوظائف مثل منطق التحقق وإعادة تعيين كلمة السر ؛
(3) الثغرات الناتجة عن العيوب في تصميم المنتج تؤثر على أمان البيانات والأصول.
- المستوى 3
التعريف: يمكن أن تؤدي الثغرات في هذا المستوى إلى خسائر كبيرة في الأصول أو إلى تسريب كميات من المعلومات الحساسة.
الفئة:
(1) الثغرات التي تدمر أمن المستخدمين أو أصول المنصة، مثل تسرب المفتاح الخاص بالمحفظة ، والثغرات في الإيداع ، وما إلى ذلك ؛
(2) الوصول غير المصرح به إلى النظام والحصول على إذن النظام، مثل حقن SQL وتنفيذ الرموز عن بعد وغيرها من الثغرات الشديدة الخطورة؛
(3) الوصول غير المصرح به إلى المعلومات الحساسة، مثل الوصول غير المصرح به إلى حسابات المستخدمين، والوصول غير القانوني إلى البيانات الحساسة في خلفية النظام، وما إلى ذلك.
ملاحظة الثغرات وعملية المعالجة
1. مرحلة تقدم التقارير
يمكن للباحث الأمني إرسال التقرير إلى support@coinex.com أو تقديم التقرير في شكل تذكرة.
ملاحظة: يجب أن يكون محتوى التقرير مفصلاً قدر الإمكان ، بما في ذلك النص وعنوان URL ولقطات الشاشة وما إلى ذلك ، إذا لزم الأمر ،يمكن أيضا تحميل المرفقات كمعلومات إضافية.
2. مرحلة التقييم
(1) في غضون ثلاثة أيام عمل ، سيقوم موظفي كوين أكس بتأكيد التقارير المستلمة ومتابعتها ؛
(2) في غضون سبعة أيام عمل ، سيقوم موظفي كوين أكس بتقديم استنتاجات وتقييمات ، وإذا لزم الأمر ، سيتواصلون مع الباحث الأمني للتأكيد ، ويطلبون منه المساعدة.
3. مرحلة الإصلاح
(1) يقوم القسم الفني بإصلاح المشكلة الأمنية المبلغ عنها في التقرير ويرتب للتحديث عبر الإنترنت. يعتمد وقت الإصلاح على شدة المشكلة والصعوبات الفنية، وتكون المشكلات الامنية للعملاء محدودة بإصدار النسخة، ويتم تحديد وقت الإصلاح وفقا للوضع الفعلي ؛
(2) يقوم الباحث الامني بمراجعة ما إذا كانت المشكلة الأمنية قد تم إصلاحها.
4. المرحلة النهائية
عند الانتهاء من الإصلاح ، ستقوم كوين إكس بتوزيع المكافآت المقابلة على الباحثين الأمنيين وفقًا لمعايير "المكافأة والتقييم".
رابعا: الاسئلة الشائعة
س: هل ستقوم كوين إكس بالإفصاح عن المعلومات المتعلقة بتقرير الثغرات الأمنية؟
ج: من أجل حماية مصالح المستخدمين وخصوصيتهم ، لن يتم الكشف عن أي معلومات حول التقرير.
س: هل يستخدم برنامج CoinEx Security Bounty المكافآت لإخفاء مشكلات الأمان؟
ج: لا، ليس كذلك. اولا، نعتقد أنه لا ينبغي الكشف عن المعلومات المتعلقة بمصالح المستخدمين و خصوصيتهم ، وهي أيضا ممارسة شائعة في الصناعة. ثانيا ، تقدم كوين إكس مكافآت للباحث الامني لإظهار الامتنان والاحترام للتعليقات على الأخطاء ، وبالتأكيد لا يتم استخدامها لإخفاء المشكلات الأمنية في التقرير.
س: هل ستقوم كوين إكس"بتجاهل الثغرات ثم إصلاحها سرا؟
ج: بالتأكيد لا. إذا تم إدخال ملاحظات الثغرات الأمنية التي أرسلها أحد الباحثين الأمنيين إلى حالة التجاهل، وسيشير الزملاء إلى الأسباب في ملاحظاتهم على التقرير. من الشائع ألا ترتفع هذه "الثغرة الأمنية" إلى مستوى الثغرة الأمنية ويتم تقييمها فقط على أنها BUG، لكن كوين إكس لن "تصلح الثغرة الأمنية سرا" على أي حال.