Programme de primes aux bogues

Lignes directrices

Nous demandons à tous les chercheurs:

  • Faites tous les efforts possibles pour éviter les violations de la confidentialité, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité.

  • Utilisez les canaux de communication identifiés pour nous signaler les informations de vulnérabilité.

  • Signalez les vulnérabilités dès que vous les découvrez, mais gardez-les confidentielles entre vous et Shakepay jusqu'à ce que nous résolvions le problème.

  • Donnez-nous au moins 5 à 7 jours ouvrables pour enquêter sur le problème et vous contacter.

De plus, si vous êtes le premier à signaler le problème et que nous apportons une modification de code ou de configuration en fonction du problème, nous nous engageons à:

Vous récompenser avec une prime (jusqu'à un maximum de 5 000$ CAD payé par mois):

  • Jusqu'à 4 000$ CAD si vous avez identifié une vulnérabilité présentant un risque grave.

  • Jusqu'à 1 000$ CAD si vous avez identifié une vulnérabilité présentant un risque modéré.

  • Jusqu'à 50$ CAD si vous avez identifié une vulnérabilité présentant un faible risque.

  • 5$ CAD s'il n'y avait en fait aucune vulnérabilité, mais nous avons quand même apporté un changement de code ou de configuration associé.

Veuillez noter que la récompense sera déterminée à notre discrétion en fonction de l'impact de la vulnérabilité.

Exemples de vulnérabilités et les niveaux que nous leur attribuons:

Risque sévère:

  • Vulnérabilité des scripts intersites stockés (XSS)

  • Exécution de code à distance

  • Accès au système de fichiers

  • Exfiltration de monnaie numérique ou fiduciaire

Risque modéré:

  • Défaut d’authentification

  • Falsification de requêtes intersites (CSRF) sur les données utilisateur

  • Données sensibles envoyées de façon non-encryptée (par exemple, avec HTTP et non HTTPS)

  • Vulnérabilités lors du téléchargement de documents

Faible risque:

  • Self-XSS (XSS), un utilisateur effectuant XSS sur lui-même uniquement

  • Au cas par cas, des problèmes avec les extensions de navigateur malveillantes accessibles au public qui capturent les données utilisateur

  • Au cas par cas, exploitations pour les anciens navigateurs (toute version d'Internet Explorer ou toute version de Chrome / Firefox / Safari / Chromium / Opera / Edge qui n'est pas la dernière)

Paiement

Les paiements seront effectués par virement électronique Bitcoin ou Interac. Le chercheur nous fournira une adresse Bitcoin ou une adresse courriel pour le paiement dans les 7 jours suivant la résolution du problème.

Portée

Exclus de la portée

  • Résultats issus principalement de l'ingénierie sociale (par exemple, hameçonnage, etc.)

  • Résultats d’applications ou de systèmes non répertoriés dans la section «Étendue»

  • Sécurité physique

  • Bogues UI / UX et fautes d’orthographe

  • Vulnérabilités de déni de service au niveau du réseau (DoS / DDoS)

  • Techniques de pourriels ou d'ingénierie sociale, y compris les problèmes SPF et DKIM

  • Bogues de sécurité dans les applications ou services tiers

  • Exploitations XSS ne présentant pas de risque de sécurité

  • Problèmes liés à la divulgation https / ssl ou aux informations du serveur

  • Attaques des forces brutes

Comment rapporter une vulnérabilité

  • Description de l'emplacement et de l'impact potentiel de la vulnérabilité

  • Une description détaillée des étapes requises pour reproduire la vulnérabilité (les scripts POC, les captures d'écran et les captures d'écran compressées nous sont tous utiles)

  • Écrivez-nous à [email protected]

Modifications

Nous nous réservons le droit de modifier ou d’annuler à tout moment le programme de primes aux bogues.