Acerca de
Coincall es una plataforma líder de negociación de derivados de criptomonedas a nivel mundial, dedicada a crear un ecosistema de negociación que sea tanto fácil de usar como potente en funcionalidad. A través de nuestra tecnología innovadora y diseño amigable para el usuario, hacemos que la negociación de opciones y futuros sea accesible no solo para expertos financieros sino también para inversores de todo el mundo, liberando el vasto potencial del mercado de criptomonedas. Con Coincall, nuestro objetivo es mejorar la libertad financiera y la eficiencia comercial de los usuarios globales en el mercado de derivados de criptomonedas.
Política
En Coincall, la seguridad de la información y los fondos de nuestros usuarios es nuestra principal prioridad. Por lo tanto, nos esforzamos por proporcionar la plataforma más segura y crear el entorno comercial más seguro. Evaluamos los problemas de seguridad informada basándonos en su impacto tanto en nuestros usuarios como en todos los sistemas comerciales bajo Coincall.
Esta política de recompensas describe las reglas del Programa de Recompensas por Vulnerabilidades de Coincall, incluida la elegibilidad y las recompensas por vulnerabilidades.
Nuestras recompensas se basan en los niveles de gravedad de CVSS (Sistema Común de Puntuación de Vulnerabilidades). Tenga en cuenta que estas son pautas generales, y las recompensas finales son determinadas por Coincall según el impacto y la explotabilidad. El pago mínimo por informes de problemas de menor gravedad pero potencialmente explotables directamente es de $100. La recompensa máxima es de $3,000, y podemos ofrecer cantidades más altas para vulnerabilidades que se consideren graves o creativas.
Gravedad | Rango de Recompensa |
Ejemplos |
---|---|---|
Critical | $1,000 - $3,000 | Vulnerabilidades que permiten el acceso no autorizado a fondos de usuarios, información sensible, lo que resulta en pérdidas financieras significativas o afecta el comercio normal (viable, no conceptual). |
High | $500 - $1,000 | Inyección de SQL, ejecución remota de código, ejecución de comandos y vulnerabilidades en la lógica de negocio de transacciones en operaciones comerciales centrales. |
Medium | $200 - $500 | Inyección de SQL y vulnerabilidades en la lógica de negocio de transacciones en operaciones comerciales generales. |
Low | $100 | XSS reflejado, redirección de solicitudes, etc. |
Las recompensas pueden pagarse en USDT o CALL.
Una vez que se acepte su envío, para recibir una recompensa, proporcione uno de los siguientes:
- Su información de cuenta registrada en Coincall (correo electrónico)
- La dirección de su billetera TRC20
Recomendamos a los investigadores que creen una cuenta privada dedicada en Coincall.
- El precio de CALL variará con las fluctuaciones del mercado de criptomonedas.
Nota:
1. Para informar vulnerabilidades, comuníquese con nosotros en bug_bounty@coincall.com.
2. Tenga en cuenta que solo aquellos informes que proporcionen pruebas válidas y demuestren cómo explotar una vulnerabilidad específica son elegibles para una recompensa. Coincall se reserva el derecho de tomar la decisión final sobre qué informes cumplen con los criterios de recompensa.
3. Coincall espera colaborar con la comunidad para garantizar que la contribución de cada investigador sea recompensada de manera justa. Para vulnerabilidades de seguridad que impacten significativamente en nuestro negocio, ofreceremos recompensas adicionales.
Alcance
- .coincall.com
- Aplicación iOS de Coincall
- Aplicación Android de Coincall
Nota: Cualquier dominio/activo no mencionado está fuera del alcance. Si cree que un activo o actividad específica no mencionado aquí debería estar dentro del alcance, envíe un informe y explique brevemente por qué cree que debería incluirse.
Los investigadores no deben intentar mover fondos. Si la prueba de concepto requiere tal intento, los investigadores deben contactar primero a Coincall y buscar aprobación. Los investigadores que intenten mover fondos sin aprobación previa no son elegibles para una recompensa.
Si un problema informado en uno de nuestros negocios/sistemas también afecta a otros negocios/sistemas con la misma causa, el problema se considerará como un único problema. Por favor, no informe sobre el mismo error varias veces.
Algunos ejemplos de vulnerabilidades que nos interesan:
- Vulnerabilidades que podrían llevar a la pérdida remota de fondos/activos de usuario
- Denegación de servicio de la aplicación comercial principal (excluyendo DDOS y CC)
- Ejecución remota de código
- Inyección SQL
- SSRF
- Lectura de archivo arbitraria
- Vulnerabilidades de lógica de negocio
- ...
Problemas no elegibles (serán cerrados por estar fuera de alcance):
Asuntos no elegibles (serán cerrados debido a estar fuera del alcance):
- Vulnerabilidades teóricas sin prueba de concepto práctica
- Problemas que no afectan la seguridad (por ejemplo, la imposibilidad de cargar una página web)
- Activos no propiedad de Coincall
- Problemas relacionados con las mejores prácticas de seguridad que no son vulnerabilidades directamente explotables.
- Fallas de validación de correo electrónico, expiración de enlaces de restablecimiento de contraseña y políticas de complejidad de contraseña
- Registros SPF (Sender Policy Framework) inválidos o faltantes (SPF/DKIM/DMARC incompletos o faltantes)
- Modificaciones de interfaz de usuario/clickjacking de bajo riesgo
- Enumeración de correo electrónico o usuario (por ejemplo, identificación del registro de correo electrónico a través de restablecimiento de contraseña)
- Revelaciones de información de bajo riesgo (por ejemplo, trazas de pila, revelaciones de rutas, listados de directorios, registros)
- Problemas internos conocidos, problemas duplicados o problemas ya publicados
- Tab-nabbing
- Auto-XSS
- Vulnerabilidades dependientes de navegadores o plataformas obsoletas (por ejemplo, XSS que depende de Adobe Flash)
- Vulnerabilidades relacionadas con el auto-rellenado de formularios web sin prueba de concepto práctica
- Falta de banderas de seguridad en cookies
- Problemas relacionados con suites de cifrado SSL/TLS inseguras o versiones de protocolos
- Suplantación de contenido
- Problemas relacionados con el control de caché
- Exposición de direcciones IP o dominios internos
- Falta de encabezados de seguridad que no conduzcan a una explotación directa
- CSRF en funciones no críticas (por ejemplo, inicio de sesión, cierre de sesión, suscripción a funciones no críticas)
- Vulnerabilidades que requieren acceso root/jailbreak
- Vulnerabilidades que requieren acceso físico a dispositivos de usuario
- Comportamientos que afectan las operaciones comerciales normales (por ejemplo, ataques DoS/DDoS)
- Informes de herramientas o escaneos automatizados
- Enlaces a páginas inválidas/vencidas
- Riesgos asociados con Zendesk y otras plataformas de terceros
- Correo no deseado
- Ingeniería social
- Problemas de baja impacto relacionados con la gestión de sesiones
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.