برنامه پاداش امنیتی کوینکس

مقدمه

هدف برنامه پاداش امنیتی کوینکس ارائه پلتفرم ایمن، پایدار و کارآمد برای انجام معاملات ارز دیجیتال توسط کاربران جهانی است. این برنامه آسیب‌پذیری‌های بالقوه را بر اساس خطرات به سه سطح (L1 تا L3) تقسیم می‌کند. به منظور تشویق کاربران بیشتر و کلاه سفیدها جهت کشف و گزارش آسیب‌پذیری‌های امنیتی، پاداشی تا سقف 10 هزار تتر به افرادی که گزارش‌های معتبر ارسال کنند پرداخت خواهد شد.

اصول، پاداش‌ها و ملاک‌های ارزیابی برنامه پاداش امنیتی کوینکس در ذیل تشریح شده است.

اصول اولیه

۱. کوینکس اهمیت زیادی برای امنیت محصولات و خدمات خود قائل است. ما متعهد به پیگیری، ارزیابی و برطرف‌کردن کلیه مشکلات گزارش‌شده و پاسخ به‌موقع به همه گزارش‌ها هستیم.

۲. برای اطمینان از پیگیری موثر، ممکن است کوینکس نیازمند کمک محقق امنیتی برای بازتولید اشکال باشد. 

۳. افشای آسیب‌پذیری و رسیدگی مسئولانه در نزد کوینکس از اهمیت ویژه‌ای برخوردار است. ما متعهد به قدردانی و اهدای پاداش به کلیه کاربرانی هستیم که پایبند به روح کلاه سفیدند و از منافع کاربران محافظت و به بهبود امنیت کوینکس می‌کنند.

۴. کوینکس مخالف کلیه فعالیت‌های مربوط به هک کردن است و آنها را محکوم می‌کند، فعالیت‌هایی که از آزمایش آسیب‌پذیری به عنوان بهانه‌ای برای لطمه به منافع کاربران کوینکس استفاده می‌کنند، از جمله سوء استفاده از آسیب‌پذیری‌ها جهت نقض حریم خصوصی کاربر و سرقت دارایی‌های دیجیتال، حمله به سیستم‌های کسب‌وکار، سرقت داده‌های کاربر و انتشار آسیب‌پذیری‌ها با سوءنیت.

۵. کوینکس مخالف کلیه اقدامات مربوط به استفاده از آسیب‌پذیری‌های امنیتی به منظور ایجاد هراس در کاربران و حمله به رقیبان است و آنها محکوم می‌کند







ملاک پاداش‌ها و ارزیابی

سطح

پاداش

سطح ۱

200 تا 1000 تتر

سطح ۲

1500 تا 4000 تتر

سطح ۳

5000 تا 10000 تتر

* سطح ۱

تعریف: آسیب‌پذیری‌های این سطح ممکن است خطرات محدود یا خطرات امنیتی بالقوه ایجاد نمایند.

دسته‌بندی‌ها:

 (۱) سوءاستفاده از تایید کد رابط‌کاربری، حملات جستجوی فراگیر (brute force attacks) به کدهای تایید و کلمات عبور.

 (۲) آسیب‌پذیری‌هایی با زیان کمتر از جمله حملات CSRF با عملیات غیرحساس و جعل ایمیل به روش SPF.

 (۳) آسیب‌پذیری‌هایی که قابلیت دسترسی به سیستم و پایداری آن‌را تحت‌تاثیر قرار می‌دهند و باعث می‌شوند که سیستم جواب ندهد.

 

* سطح ۲

تعریف: آسیب‌پذیری‌های این سطح اطلاعات حساس یا امنیت دارایی را به خطر می‌اندازند. این آسیب‌پذیری‌ها ممکن است اثرات خاص یا از دست رفتن دارایی را در پی داشته باشند. 

دسته‌بندی‌ها:

 (۱) آسیب‌پذیری‌هایی از جمله حملات XSS و CSRF که برخی کاربران را تحت تاثیر قرار می‌دهند و موجب نشت اطلاعات کاربری کاربران یا عملیات حساس غیرمجاز می‌شوند.

 (۲) آسیب‌پذیری‌ها در منطق تایید، تنظیم مجدد کلمه‌عبور و غیره که می‌توانند به منظور دسترسی به حساب‌های کاربران مورد سوءاستفاده قرار گیرند.

 (۳) آسیب‌پذیری‌ها در طراحی محصول که امنیت داده‌ و دارایی را به خطر می‌اندازند.

 

* سطح ۳

 

تعریف: آسیب‌پذیری‌های این سطح ممکن است موجب از دست رفتن دارایی‌های زیاد یا نشت گسترده اطلاعات حساس شوند.

دسته‌بندی‌ها:

 (۱) آسیب‌پذیری‌هایی که به امنیت دارایی‌های کاربر یا شرکت لطمه می‌زنند، مانند نشت کلید خصوصی، آسیب‌پذیری‌های سپرده و غیره.

 (۲) آسیب‌پذیری‌های پرخطر مانند تزریق SQL، اجرای کد از راه دور و غیره که دسترسی غیرمجاز به سیستم را برای دستیابی به مجوزهای سیستم ممکن می‌سازند.

 (۳) دسترسی غیرمجاز به اطلاعات حساس، مانند دسترسی غیرمجاز به حساب‌های کاربر، دسترسی غیرقانونی به داده‌های حساس در بک‌اند سیستم و غیره.

 

فرایند برنامه پاداش امنیتی

۱. ارسال گزارش

محقق امنیتی می‌تواند گزارش را به support@coinex.com ارسال کند یا با ایجاد تیکت، گزارش را ارسال نماید.

توجه: گزارش باید تا حد امکان جامع و شامل متن، URL، اسکرین‌شات‌ها و غیره باشد. در صورت لزوم، فایلی را پیوست کنید.

 

۲. بررسی و ارزیابی آسیب‌پذیری

 (۱) کوینکس ظرف ۳روز کاری، گزارش و اشکال را بررسی خواهد کرد.

 (۲) کوینکس ظرف ۷روز کاری، نتیجه را اعلام و سطح آسیب‌پذیری را مشخص خواهد کرد. در صورت لزوم، با محقق نیز مشورت خواهد شد و از کمک شما قدردانی می‌شود.

 

۳. برطرف‌کردن اشکال

 (۱) بخش فنی ما اشکال امنیتی گزارش شده را برطرف و به‌روزرسانی را زمان‌بندی خواهد کرد. مدت زمان رفع اشکال بستگی به شدت اشکال و مشکلات فنی دارد. برای اشکالات فنی مربوط به مشتریان، مدت زمان رفع اشکال بستگی به شرایط دارد چون تحت تاثیر زمان‌بندی انتشار است.

 (۲) محقق می‌تواند بررسی کند که آیا اشکال امنیتی برطرف شده است یا خیر.

 

۴. مرحله نهایی

پس از رفع اشکال، کوینکس پاداش‌ها را بر اساس «ملاک پاداش و ارزیابی» میان محققان امنیتی توزیع خواهد کرد.

 

پرسش‌های متداول

آیا کوینکس اطلاعات مربوط به گزارش آسیب‌پذیری را افشا خواهد کرد؟

به منظور محافظت از منافع و حریم خصوصی کاربران، ما به صورت علنی اقدام به افشای اطلاعات در مورد گزارش نخواهیم کرد.

 

آیا برنامه پاداش امنیتی کوینکس، استفاده ابزاری از پاداش جهت پنهان کردن اشکالات امنیتی است؟

خیر. اول از همه، کوینکس معتقد است که اطلاعات مربوط به منظور محافظت از منابع و حریم خصوصی کاربران نباید افشا شوند، که اقدامی رایج در صنعت به شمار می‌آید. دوم، پاداش‌های کوینکس به منظور قدردانی و احترام به گزارش‌کنندگان، به جای پنهان کردن اشکالات امنیتی است.

 

آیا کوینکس نسبت به آسیب‌پذیری بی‌اعتنا خواهد بود و بعد به صورت مخفیانه آن‌ را برطرف خواهد کرد؟

به هیچ عنوان. اگر به گزارش آسیب‌پذیری توجهی نشود، همکاران ما علت را در بازخورد گزارش توضیح خواهند داد. معمولاً، چنین اتفاقی رخ می‌دهد چون «آسیب‌پذیری» در واقع آسیب‌پذیری تلقی نمی‌شود بلکه به عنوان «باگ» ارزیابی می‌گردد. کوینکس در هر شرایطی اقدام به «برطرف کردن آسیب‌پذیری به صورت مخفیانه» نخواهد کرد.