Программа Security Bounty на CoinEx

Программа CoinEx Security Bounty направлена ​​на то, чтобы предоставить пользователям безопасную, стабильную и эффективную платформу для торговли цифровыми активами. Эта программа делит потенциальные уязвимости на три уровня (от L1 до L3) в зависимости от рисков. Чтобы привлечь внимание пользователей и, так называемых "белых шляп", к поиску уязвимостей в CoinEx предусмотрено вознаграждение вплоть до 10 000 долларов США. 

Ниже приведены основные принципы программы CoinEx Security Bounty, а также критерии вознаграждения и рейтинги.

 

Основные принципы

1. CoinEx придает большое значение безопасности своих продуктов и гарантирует отслеживание, анализ и обработку каждого сообщения об обнаружении уязвимости на платформе;

2. Для обеспечения эффективного и оперативного устранения уязвимости CoinEx может запросить помощь лица, обнаружившего потенциальную угрозу;

3. CoinEx подчеркивает важность ответственного подхода к поиску уязвимостей и применению мер по их устранению и гарантирует вознаграждение каждому пользователю, который окажет содействие CoinEx по повышению безопасности и защите интересов пользователей платформы;

4. CoinEx выступает против и осуждает все хакерские действия, которые используют тестирование уязвимостей для нанесения ущерба интересам пользователей, включая использование уязвимостей для нарушения конфиденциальности пользователей, кражи цифровых активов и данных пользователей, вторжение в бизнес-системы, а также умышленное создание новых уязвимостей в системе безопасности;

5. CoinEx выступает против и осуждает все акты использования уязвимостей в системе безопасности для запугивания пользователей и атак на конкурентов.

 

Вознаграждения и критерии оценки

Уровень   Вознаграждение
Level 1 200-1000 долларов США
Level 2 1,500-4,000 долларов США
Level 3  5,000-10,000 долларов США

 

▪ Уровень L1

Определение: Уязвимости этого уровня могут представлять ограниченную опасность или потенциальный риск безопасности.

Категории:

(1) Проблемы при использовании интерфейса проверочного кода и подстановки учетных данных;

(2) CSRF-атаки, подделка электронной почты SPF и другие уязвимости с невысоким уровнем риска;

(3) Уязвимости, влияющие на доступ к системе и ее стабильность, приводящие к перебоям в работе системы.

▪ Уровень L2

Определение: Уязвимости этого уровня ставят под угрозу конфиденциальную информацию или безопасность активов.

Категории:

(1) Уязвимости, связанные с XSS и CSRF атаками, которые затрагивают пользователей, приводя к утечке учетных данных и совершения операций без их ведома;

(2) Уязвимости в логике проверки, сбросе пароля и т.д., которые могут быть использованы для доступа к учетным записям пользователей;

(3) Уязвимости в дизайне продукта, которые ставят под угрозу безопасность данных пользователей и их активов.

▪ Уровень L3

Определение: Уязвимости такого уровня могут привести к серьезным последствиям, таким как потеря активов или массовая утечке конфиденциальной информации.

Категории:

(1) Уязвимости, которые наносят ущерб безопасности активов пользователей или собственности компании, такие как утечка секретного ключа кошелька, уязвимости при депозите средств и т.д.;

(2) Уязвимости высокого риска, такие как внедрение SQL, удаленное совершение операций и т.д., которые предоставляют несанкционированный доступу к системе третьим лицам;

(3) Несанкционированный доступ к конфиденциальной информации, такой как учетные записи пользователей и незаконный доступ к конфиденциальным данным, хранящимся на серверах системы и т.д.

 

Процесс принятия участия в программе Security Bounty

1. Отправка отчета об обнаруженной уязвимости

Аналитик информационной безопасности может отправить отчет по адресу support@coinex.com, либо заполнить соответствующую форму здесь.
Примечание: Отчет должен быть максимально подробным, включать текст, URL-адрес, скриншоты и любые другие необходимые документы и материалы.

2. Проверка

(1) В течение трех рабочих дней CoinEx рассмотрит отчет и примет соответствующие меры.

(2) В течение семи рабочих дней CoinEx даст заключение и определит уровень уязвимости. При необходимости, CoinEx может отправить заявку о содействии в устранении найденной уязвимости.

3. Устранение уязвимости

(1) Технический отдел CoinEx устранит обнаруженную проблему в безопасности системы и выпустит обновление. Время устранения проблемы зависит от ее серьезности и технических трудностей.

(2) Аналитик информационной безопасности может проверить, была ли проблема устранена.

4. Заключительный этап

После завершения работ по устранению проблем в безопасности системы, аналитику информационной безопасности, обнаружившему уязвимость будет выплачено вознаграждение.

 

Часто задаваемые вопросы (FAQ)

Вопрос: Раскрывает ли CoinEx информацию, связанную с отчетом об уязвимости?

Ответ: В целях защиты интересов и конфиденциальности пользователей CoinEx не размещает отчет и информацию об уязвимости в публичном доступе.

 

Вопрос: Является ли данная программа своего рода маскировкой для сокрытия проблем безопасности?

Ответ: Нет, не является. Прежде всего CoinEx считает, что соответствующая информация не должна разглашаться в целях защиты интересов пользователей и соблюдения конфиденциальности, что также является обычной практикой в отрасли. Во-вторых, награды предназначены для выражения благодарности и уважения аналитику информационной безопасности, а не для сокрытия проблем безопасности.

 

Вопрос: Будет ли CoinEx “игнорировать” уязвимость, а затем тайно исправлять ее?

Ответ: Абсолютно нет. Если сообщение об уязвимости “игнорируется”, наши сотрудники объяснят причину в отзыве об отчете. Обычно это происходит потому, что "уязвимость" не считается уязвимостью, а оценивается как ошибка. CoinEx ни в коем случае не будет тайно исправлять уязвимость.