KUNA Exchange: Программа вознаграждения за найденные уязвимости

  Безопасность - важнейший приоритет для нас, и поэтому мы запустили программу обнаружения уязвимостей и выплаты вознаграждения за них. Ознакомьтесь с правилами ниже:  

Ответственное обнаружение

Ответственное обнаружение означает:
  1. Предоставить нам достаточное количество времени для исправления уязвимости до распространения информации о ней любым способом.
  2. Приложить необходимые усилия для непричинения любого ущерба бирже и ее пользователям.
  3. Не вводить в заблуждение пользователей или сотрудников биржи в процессе обнаружения уязвимости.
При выполнении этих условий мы обещаем не преследовать никаким образом тех, кто помогает нам обнаружить проблему.  

Вознаграждение

Минимальное вознаграждение составляет $50 USD.

Ограничения на максимальный размер вознаграждения нет, и мы можем увеличить награду в зависимости от серьезности найденной уязвимости. Исследователи с большей вероятностью получат повышенное вознаграждение, если продемонстрируют, как уязвимость может быть использована для нанесения максимального вреда.

Список ниже показывает примерное вознаграждение за обнаружение уязвимостей: 

 Remote Code Execution – $5,000
 Significant manipulation of account balance – $2,500
 XSS/CSRF/Clickjacking affecting sensitive actions [1] – $2,500
 Theft of privileged information [2] – $1,500
 Partial authentication bypass – $500
 Other XSS (excluding Self-XSS) – $500
 Other vulnerability with clear potential for financial or data loss – $500
 Other CSRF (excluding logout CSRF) – $125
 Other best practice or defense in depth – $50
 

[1] Sensitive actions include: depositing, trading, or sending money; OAuth or API Key actions
[2] Privileged information includes: passwords, API keys, bank account numbers, social security numbers or equivalent  

Список сервисов

Все сервисы, предоставляемые KUNA Exchange, участвуют в программе вознаграждений, включая API и биржу - принимается все, что несет возможность финансовых потерь или утечки данных и имеет достаточную степень серьезности, включая:
  • XSS
  • CSRF
  • Authentication bypass or privilege escalation
  • Click jacking
  • Remote code execution
  • Obtaining user information
  • Accounting errors
  В общем случае не соответствуют порогу серьезности:
  • Self-XSS
  • Denial of service
  • Spamming
  • Vulnerabilities in third party applications which make use of the KUNA API
  • Vulnerabilities which involve privileged access to a victim's device(s)
  • Logout CSRF
  • User existence/enumeration vulnerabilities
  • Password complexity requirements
  • Reports from automated tools or scans (without accompanying demonstration of exploitability)
  • Social engineering attacks against KUNA Exchange employees or contractors
  Следующие домены, расположенные у третьих лиц, не участвуют в программе вознаграждений за поиск уязвимостей (если только они не ведут к уязвимости на основном сайте):
  • support.kuna.io
  • investors.kuna.io
  • любые другие сервисы, не полностью контролируемые KUNA.
  KUNA Exchange оставляет за собой решение, имеет ли уязвимость право на получение вознаграждения, и сумму вознаграждения. Вознаграждение будет зачислено в BTC на ваш аккаунт биржи KUNA. Сообщая об уязвимости, вы соглашаетесь с вышеопубликованными правилами.  

Как уведомить

Вы можете сообщить нам об уязвимости, написав на этот email:

[email protected]

Мы благодарим вас за то, что помогаете биткоин-сообществу быть безопасным!