Programme de primes aux bogues
Nous demandons à tous les chercheurs:
Faites tous les efforts possibles pour éviter les violations de la confidentialité, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité.
Utilisez les canaux de communication identifiés pour nous signaler les informations de vulnérabilité.
Signalez les vulnérabilités dès que vous les découvrez, mais gardez-les confidentielles entre vous et Shakepay jusqu'à ce que nous résolvions le problème.
Donnez-nous au moins 5 à 7 jours ouvrables pour enquêter sur le problème et vous contacter.
De plus, si vous êtes le premier à signaler le problème et que nous apportons une modification de code ou de configuration en fonction du problème, nous nous engageons à:
Vous récompenser avec une prime (jusqu'à un maximum de 5 000$ CAD payé par mois):
Jusqu'à 4 000$ CAD si vous avez identifié une vulnérabilité présentant un risque grave.
Jusqu'à 1 000$ CAD si vous avez identifié une vulnérabilité présentant un risque modéré.
Jusqu'à 50$ CAD si vous avez identifié une vulnérabilité présentant un faible risque.
5$ CAD s'il n'y avait en fait aucune vulnérabilité, mais nous avons quand même apporté un changement de code ou de configuration associé.
Veuillez noter que la récompense sera déterminée à notre discrétion en fonction de l'impact de la vulnérabilité.
Exemples de vulnérabilités et les niveaux que nous leur attribuons:
Vulnérabilité des scripts intersites stockés (XSS)
Exécution de code à distance
Accès au système de fichiers
Exfiltration de monnaie numérique ou fiduciaire
Défaut d’authentification
Falsification de requêtes intersites (CSRF) sur les données utilisateur
Données sensibles envoyées de façon non-encryptée (par exemple, avec HTTP et non HTTPS)
Vulnérabilités lors du téléchargement de documents
Self-XSS (XSS), un utilisateur effectuant XSS sur lui-même uniquement
Au cas par cas, des problèmes avec les extensions de navigateur malveillantes accessibles au public qui capturent les données utilisateur
Au cas par cas, exploitations pour les anciens navigateurs (toute version d'Internet Explorer ou toute version de Chrome / Firefox / Safari / Chromium / Opera / Edge qui n'est pas la dernière)
Les paiements seront effectués par virement électronique Bitcoin ou Interac. Le chercheur nous fournira une adresse Bitcoin ou une adresse courriel pour le paiement dans les 7 jours suivant la résolution du problème.
Résultats issus principalement de l'ingénierie sociale (par exemple, hameçonnage, etc.)
Résultats d’applications ou de systèmes non répertoriés dans la section «Étendue»
Sécurité physique
Bogues UI / UX et fautes d’orthographe
Vulnérabilités de déni de service au niveau du réseau (DoS / DDoS)
Techniques de pourriels ou d'ingénierie sociale, y compris les problèmes SPF et DKIM
Bogues de sécurité dans les applications ou services tiers
Exploitations XSS ne présentant pas de risque de sécurité
Problèmes liés à la divulgation https / ssl ou aux informations du serveur
Attaques des forces brutes
Description de l'emplacement et de l'impact potentiel de la vulnérabilité
Une description détaillée des étapes requises pour reproduire la vulnérabilité (les scripts POC, les captures d'écran et les captures d'écran compressées nous sont tous utiles)
Écrivez-nous à [email protected]
Nous nous réservons le droit de modifier ou d’annuler à tout moment le programme de primes aux bogues.
