KUNA Exchange: Програма винагороди за знайдені вразливості

  Безпека - найважливіший пріоритет для нас, і тому ми запустили програму виявлення вразливостей і виплати винагороди за них. Ознайомтеся з правилами нижче:  

Відповідальне виявлення

Відповідальне виявлення означає:
  1. Надати нам достатню кількість часу для виправлення вразливості до поширення інформації про неї будь-яким способом.
  2. Докласти необхідних зусиль для заборони завдавати будь-якого збитку біржі і її користувачам.
  3. Не вводити в оману користувачів або співробітників біржі в процесі виявлення вразливості.
  При виконанні цих умов ми обіцяємо не переслідувати ніяким чином тих, хто допомагає нам виявити проблему.  

Винагорода

Обмежень на максимальний розмір винагороди немає, і ми можемо збільшити нагороду в залежності від серйозності знайденої вразливості. Дослідники з більшою ймовірністю отримають підвищену ставку винагороди, якщо продемонструють, як вразливість може бути використана для нанесення максимальної шкоди.

Список нижче показує приклади винагород за виявлення вразливостей:
                 
 Remote Code Execution – $5,000
 Significant manipulation of account balance – $2,500
 XSS/CSRF/Clickjacking affecting sensitive actions [1] – $2,500
 Theft of privileged information [2] – $1,500
 Partial authentication bypass – $500
 Other XSS (excluding Self-XSS) – $500
 Other vulnerability with clear potential for financial or data loss – $500
 Other CSRF (excluding logout CSRF) – $125

[1] Sensitive actions include: depositing, trading, or sending money; OAuth or API Key actions 
[2] Privileged information includes: passwords, API keys, bank account numbers, social security numbers or equivalent  

Список сервісів

Всі сервіси, що надаються KUNA Exchange, беруть участь в програмі винагород, включаючи API і біржу - приймається все, що несе можливість фінансових втрат або витоку даних і має достатній ступінь серйозності, включаючи:
  • XSS
  • CSRF
  • Authentication bypass or privilege escalation
  • Click jacking
  • Remote code execution
  • Obtaining user information
  • Accounting errors
  У загальному випадку не відповідають порогу серйозності:
  • Self-XSS
  • Denial of service
  • Spamming
  • Vulnerabilities in third party applications which make use of the KUNA API
  • Vulnerabilities which involve privileged access to a victim's device(s)
  • Logout CSRF
  • User existence/enumeration vulnerabilities
  • Password complexity requirements
  • Reports from automated tools or scans (without accompanying demonstration of exploitability)
  • Social engineering attacks against KUNA Exchange employees or contractors
  Наступні домени, розташовані у третіх осіб, які не беруть участь в програмі винагород за пошук вразливостей (якщо тільки вони не ведуть до вразливості на основному сайті):
  • support.kuna.io
  • investors.kuna.io
  • будь-які інші сервіси, які не повністю контрольовані KUNA.
  KUNA Exchange залишає за собою рішення, чи має вразливість право на отримання винагороди, і суму винагороди. Винагорода буде зарахована в BTC на ваш аккаунт біржі KUNA. Повідомляючи про уразливість, ви погоджуєтеся з вищеопублікованними правилами.

 

Як повідомити

Ви можете повідомити нам про вразливість через платформу HackenProof:

https://hackenproof.com/kuna/kuna-crypto-exchange


Ми дякуємо вам за те, що допомагаєте біткоін-спільноті бути безпечною!