Programme de primes aux bogues
Lignes directrices
Nous demandons à tous les chercheurs:
Faites tous les efforts possibles pour éviter les violations de la confidentialité, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité.
Utilisez les canaux de communication identifiés pour nous signaler les informations de vulnérabilité.
Signalez les vulnérabilités dès que vous les découvrez, mais gardez-les confidentielles entre vous et Shakepay jusqu'à ce que nous résolvions le problème.
Donnez-nous au moins 5 à 7 jours ouvrables pour enquêter sur le problème et vous contacter.
De plus, si vous êtes le premier à signaler le problème et que nous apportons une modification de code ou de configuration en fonction du problème, nous nous engageons à:
Vous récompenser avec une prime (jusqu'à un maximum de 5 000$ CAD payé par mois):
Jusqu'à 4 000$ CAD si vous avez identifié une vulnérabilité présentant un risque grave.
Jusqu'à 1 000$ CAD si vous avez identifié une vulnérabilité présentant un risque modéré.
Jusqu'à 50$ CAD si vous avez identifié une vulnérabilité présentant un faible risque.
5$ CAD s'il n'y avait en fait aucune vulnérabilité, mais nous avons quand même apporté un changement de code ou de configuration associé.
Veuillez noter que la récompense sera déterminée à notre discrétion en fonction de l'impact de la vulnérabilité. De plus, dans le cas où la même vulnérabilité est signalée par plusieurs parties, la partie qui a signalé le problème en premier se verra attribuer la récompense.
Exemples de vulnérabilités et les niveaux que nous leur attribuons:
Risque sévère:
Vulnérabilité des scripts intersites stockés (XSS)
Exécution de code à distance
Accès au système de fichiers
Exfiltration de monnaie numérique ou fiduciaire
Risque modéré:
Défaut d’authentification
Falsification de requêtes intersites (CSRF) sur les données utilisateur
Données sensibles envoyées de façon non-encryptée (par exemple, avec HTTP et non HTTPS)
Vulnérabilités lors du téléchargement de documents
Faible risque:
Self-XSS (XSS), un utilisateur effectuant XSS sur lui-même uniquement
Au cas par cas, des problèmes avec les extensions de navigateur malveillantes accessibles au public qui capturent les données utilisateur
Au cas par cas, exploitations pour les anciens navigateurs (toute version d'Internet Explorer ou toute version de Chrome / Firefox / Safari / Chromium / Opera / Edge qui n'est pas la dernière)
Paiement
Les paiements seront effectués par virement électronique Bitcoin ou Interac. Le chercheur nous fournira une adresse Bitcoin ou une adresse courriel pour le paiement dans les 7 jours suivant la résolution du problème.
Portée
Exclus de la portée
Résultats issus principalement de l'ingénierie sociale (par exemple, hameçonnage, etc.)
Résultats d’applications ou de systèmes non répertoriés dans la section «Étendue»
Sécurité physique
Bogues UI / UX et fautes d’orthographe
Vulnérabilités de déni de service au niveau du réseau (DoS / DDoS)
Techniques de pourriels ou d'ingénierie sociale, y compris les problèmes SPF et DKIM
Bogues de sécurité dans les applications ou services tiers
Exploitations XSS ne présentant pas de risque de sécurité
Problèmes liés à la divulgation https / ssl ou aux informations du serveur
Attaques des forces brutes
Comment rapporter une vulnérabilité
Description de l'emplacement et de l'impact potentiel de la vulnérabilité
Une description détaillée des étapes requises pour reproduire la vulnérabilité (les scripts POC, les captures d'écran et les captures d'écran compressées nous sont tous utiles)
Écrivez-nous à bugbounty@shakepay.com - notre clé PGP publique est DB65 6FC0 7112 0DCA 1083 5866 4BBF 2997 74E3 AFB2.
Rédaction d'un rapport
Si notre équipe de sécurité ne peut pas reproduire et vérifier un problème, une prime ne peut pas être attribuée. Pour aider à optimiser notre processus de traitement, nous demandons que les soumissions comprennent :
Une description de la vulnérabilité
Les étapes de la reproduction de la vulnérabilité signalée
Preuve d'exploitabilité (par exemple, capture d'écran, vidéo)
Impact perçu pour un autre utilisateur ou l'organisation
Vecteur et score CVSSv3 proposés (sans modificateurs environnementaux et temporels)
Liste des URL et des paramètres affectés
Autres URL vulnérables, charges utiles supplémentaires, code Proof-of-Concept Navigateur, système d'exploitation et/ou version de l'application utilisés pendant le test.
Remarque : le non-respect de ces exigences minimales peut entraîner la perte d'une prime.
Modifications
Nous nous réservons le droit de modifier ou d’annuler à tout moment le programme de primes aux bogues.
Last updated