Programme de primes aux bogues

Lignes directrices

Nous demandons à tous les chercheurs:

• Faites tous les efforts possibles pour éviter les violations de la confidentialité, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité.

• Utilisez les canaux de communication identifiés pour nous signaler les informations de vulnérabilité.

• Signalez les vulnérabilités dès que vous les découvrez, mais gardez-les confidentielles entre vous et Shakepay jusqu'à ce que nous résolvions le problème.

• Donnez-nous au moins 5 à 7 jours ouvrables pour enquêter sur le problème et vous contacter.

De plus, si vous êtes le premier à signaler le problème et que nous apportons une modification de code ou de configuration en fonction du problème, nous nous engageons à:

Vous récompenser avec une prime (jusqu'à un maximum de 5 000$ CAD payé par mois):

• Jusqu'à 4 000$ CAD si vous avez identifié une vulnérabilité présentant un risque grave.

• Jusqu'à 1 000$ CAD si vous avez identifié une vulnérabilité présentant un risque modéré.

• Jusqu'à 50$ CAD si vous avez identifié une vulnérabilité présentant un faible risque.

• 5$ CAD s'il n'y avait en fait aucune vulnérabilité, mais nous avons quand même apporté un changement de code ou de configuration associé.

Veuillez noter que la récompense sera déterminée à notre discrétion en fonction de l'impact de la vulnérabilité. De plus, dans le cas où la même vulnérabilité est signalée par plusieurs parties, la partie qui a signalé le problème en premier se verra attribuer la récompense.

Exemples de vulnérabilités et les niveaux que nous leur attribuons:

Risque sévère:

• Vulnérabilité des scripts intersites stockés (XSS)

• Exécution de code à distance

• Accès au système de fichiers

• Exfiltration de monnaie numérique ou fiduciaire

Risque modéré:

• Défaut d’authentification

• Falsification de requêtes intersites (CSRF) sur les données utilisateur

• Données sensibles envoyées de façon non-encryptée (par exemple, avec HTTP et non HTTPS)

• Vulnérabilités lors du téléchargement de documents

Faible risque:

• Self-XSS (XSS), un utilisateur effectuant XSS sur lui-même uniquement

• Au cas par cas, des problèmes avec les extensions de navigateur malveillantes accessibles au public qui capturent les données utilisateur

• Au cas par cas, exploitations pour les anciens navigateurs (toute version d'Internet Explorer ou toute version de Chrome / Firefox / Safari / Chromium / Opera / Edge qui n'est pas la dernière)

Paiement

Les paiements seront effectués par virement électronique Bitcoin ou Interac. Le chercheur nous fournira une adresse Bitcoin ou une adresse courriel pour le paiement dans les 7 jours suivant la résolution du problème.

Portée

• https://shakepay.com/

• https://api.shakepay.com/

• L’application mobile Android Shakepay

• L’application mobile IOS Shakepay

Exclus de la portée

• Résultats issus principalement de l'ingénierie sociale (par exemple, hameçonnage, etc.)

• Résultats d’applications ou de systèmes non répertoriés dans la section «Étendue»

• Sécurité physique

• Bogues UI / UX et fautes d’orthographe

• Vulnérabilités de déni de service au niveau du réseau (DoS / DDoS)

• Techniques de pourriels ou d'ingénierie sociale, y compris les problèmes SPF et DKIM

• Bogues de sécurité dans les applications ou services tiers

• Exploitations XSS ne présentant pas de risque de sécurité

• Problèmes liés à la divulgation https / ssl ou aux informations du serveur

• Attaques des forces brutes

Comment rapporter une vulnérabilité

• Description de l'emplacement et de l'impact potentiel de la vulnérabilité

• Une description détaillée des étapes requises pour reproduire la vulnérabilité (les scripts POC, les captures d'écran et les captures d'écran compressées nous sont tous utiles)

• Écrivez-nous à [email protected] - notre clé PGP publique est DB65 6FC0 7112 0DCA 1083 5866 4BBF 2997 74E3 AFB2.

Rédaction d'un rapport

Si notre équipe de sécurité ne peut pas reproduire et vérifier un problème, une prime ne peut pas être attribuée. Pour aider à optimiser notre processus de traitement, nous demandons que les soumissions comprennent :

• Une description de la vulnérabilité

• Les étapes de la reproduction de la vulnérabilité signalée

• Preuve d'exploitabilité (par exemple, capture d'écran, vidéo)

• Impact perçu pour un autre utilisateur ou l'organisation

• Vecteur et score CVSSv3 proposés (sans modificateurs environnementaux et temporels)

• Liste des URL et des paramètres affectés

• Autres URL vulnérables, charges utiles supplémentaires, code Proof-of-Concept Navigateur, système d'exploitation et/ou version de l'application utilisés pendant le test.

Remarque : le non-respect de ces exigences minimales peut entraîner la perte d'une prime.

Modifications

Nous nous réservons le droit de modifier ou d’annuler à tout moment le programme de primes aux bogues.