Программа CoinEx Security Bounty направлена на то, чтобы предоставить пользователям безопасную, стабильную и эффективную платформу для торговли цифровыми активами. Эта программа делит потенциальные уязвимости на три уровня (от L1 до L3) в зависимости от рисков. Чтобы привлечь внимание пользователей и, так называемых "белых шляп", к поиску уязвимостей в CoinEx предусмотрено вознаграждение вплоть до 10 000 долларов США.
Ниже приведены основные принципы программы CoinEx Security Bounty, а также критерии вознаграждения и рейтинги.
Основные принципы
1. Программа CoinEx Security Bounty Program принимает отчеты только об уязвимостях, обнаруженных на официальном сайте CoinEx www.coinex.com.
2. Для обеспечения эффективного и оперативного устранения уязвимости CoinEx может запросить помощь лица, обнаружившего потенциальную угрозу;
3. CoinEx подчеркивает важность ответственного подхода к поиску уязвимостей и применению мер по их устранению и гарантирует вознаграждение каждому пользователю, который окажет содействие CoinEx по повышению безопасности и защите интересов пользователей платформы;
4. CoinEx выступает против и осуждает все хакерские действия, которые используют тестирование уязвимостей для нанесения ущерба интересам пользователей, включая использование уязвимостей для нарушения конфиденциальности пользователей, кражи цифровых активов и данных пользователей, вторжение в бизнес-системы, а также умышленное создание новых уязвимостей в системе безопасности;
5. CoinEx выступает против и осуждает все акты использования уязвимостей в системе безопасности для запугивания пользователей и атак на конкурентов.
Вознаграждения и критерии оценки
Уровень | Вознаграждение |
Level 1 | 200-1000 долларов США |
Level 2 | 1,500-4,000 долларов США |
Level 3 | 5,000-10,000 долларов США |
▪ Уровень L1
Определение: Уязвимости этого уровня могут представлять ограниченную опасность или потенциальный риск безопасности.
Категории:
(1) Проблемы при использовании интерфейса проверочного кода и подстановки учетных данных;
(2) CSRF-атаки, подделка электронной почты SPF и другие уязвимости с невысоким уровнем риска;
(3) Уязвимости, влияющие на доступ к системе и ее стабильность, приводящие к перебоям в работе системы.
▪ Уровень L2
Определение: Уязвимости этого уровня ставят под угрозу конфиденциальную информацию или безопасность активов.
Категории:
(1) Уязвимости, связанные с XSS и CSRF атаками, которые затрагивают пользователей, приводя к утечке учетных данных и совершения операций без их ведома;
(2) Уязвимости в логике проверки, сбросе пароля и т.д., которые могут быть использованы для доступа к учетным записям пользователей;
(3) Уязвимости в дизайне продукта, которые ставят под угрозу безопасность данных пользователей и их активов.
▪ Уровень L3
Определение: Уязвимости такого уровня могут привести к серьезным последствиям, таким как потеря активов или массовая утечке конфиденциальной информации.
Категории:
(1) Уязвимости, которые наносят ущерб безопасности активов пользователей или собственности компании, такие как утечка секретного ключа кошелька, уязвимости при депозите средств и т.д.;
(2) Уязвимости высокого риска, такие как внедрение SQL, удаленное совершение операций и т.д., которые предоставляют несанкционированный доступу к системе третьим лицам;
(3) Несанкционированный доступ к конфиденциальной информации, такой как учетные записи пользователей и незаконный доступ к конфиденциальным данным, хранящимся на серверах системы и т.д.
Процесс принятия участия в программе Security Bounty
1. Отправка отчета об обнаруженной уязвимости
Аналитик информационной безопасности может отправить отчет по адресу support@coinex.com, либо заполнить соответствующую форму здесь.
Примечание: Отчет должен быть максимально подробным, включать текст, URL-адрес, скриншоты и любые другие необходимые документы и материалы.
2. Проверка
(1) В течение трех рабочих дней CoinEx рассмотрит отчет и примет соответствующие меры.
(2) В течение семи рабочих дней CoinEx даст заключение и определит уровень уязвимости. При необходимости, CoinEx может отправить заявку о содействии в устранении найденной уязвимости.
3. Устранение уязвимости
(1) Технический отдел CoinEx устранит обнаруженную проблему в безопасности системы и выпустит обновление. Время устранения проблемы зависит от ее серьезности и технических трудностей.
(2) Аналитик информационной безопасности может проверить, была ли проблема устранена.
4. Заключительный этап
После завершения работ по устранению проблем в безопасности системы, аналитику информационной безопасности, обнаружившему уязвимость будет выплачено вознаграждение.
Часто задаваемые вопросы (FAQ)
Вопрос: Раскрывает ли CoinEx информацию, связанную с отчетом об уязвимости?
Ответ: В целях защиты интересов и конфиденциальности пользователей CoinEx не размещает отчет и информацию об уязвимости в публичном доступе.
Вопрос: Является ли данная программа своего рода маскировкой для сокрытия проблем безопасности?
Ответ: Нет, не является. Прежде всего CoinEx считает, что соответствующая информация не должна разглашаться в целях защиты интересов пользователей и соблюдения конфиденциальности, что также является обычной практикой в отрасли. Во-вторых, награды предназначены для выражения благодарности и уважения аналитику информационной безопасности, а не для сокрытия проблем безопасности.
Вопрос: Будет ли CoinEx “игнорировать” уязвимость, а затем тайно исправлять ее?
Ответ: Абсолютно нет. Если сообщение об уязвимости “игнорируется”, наши сотрудники объяснят причину в отзыве об отчете. Обычно это происходит потому, что "уязвимость" не считается уязвимостью, а оценивается как ошибка. CoinEx ни в коем случае не будет тайно исправлять уязвимость.