Informazioni

Coincall è una piattaforma di trading di derivati di criptovalute leader a livello globale, dedicata alla creazione di un ecosistema di trading semplice da usare e potente nella funzionalità. Attraverso la nostra tecnologia innovativa e il design user-friendly, rendiamo il trading di opzioni e futures accessibile non solo agli esperti finanziari ma agli investitori di tutto il mondo, liberando il vasto potenziale del mercato delle criptovalute. Con Coincall, miriamo a migliorare la libertà finanziaria e l'efficienza del trading degli utenti globali nel mercato dei derivati delle criptovalute.

Politica

Presso Coincall, la sicurezza delle informazioni e dei fondi dei nostri utenti è la nostra massima priorità. Pertanto, ci impegniamo a fornire la piattaforma più sicura e creare l'ambiente di trading più sicuro. Valutiamo le problematiche di sicurezza segnalate in base al loro impatto sia sui nostri utenti che su tutti i sistemi aziendali sotto Coincall.

Questa politica di bounty definisce le regole del programma di vulnerabilità Coincall's Vulnerability Bounty Program, inclusa l'ammissibilità e le ricompense per le vulnerabilità.

Le nostre ricompense si basano sui livelli di gravità di CVSS (Common Vulnerability Scoring System). Si prega di notare che queste sono linee guida generali e le ricompense finali sono determinate da Coincall in base all'impatto e alla sfruttabilità. Il pagamento minimo per segnalazioni di problemi di minore gravità ma potenzialmente direttamente sfruttabili è di $100. La ricompensa massima è di $3.000 e possiamo offrire importi più alti per vulnerabilità considerate gravi o creative.

Le ricompense possono essere pagate in USDT o CALL.

Una volta accettata la tua segnalazione, per ricevere una ricompensa, fornisci una delle seguenti:

- Le informazioni del tuo account registrato su Coincall (email)
- Il tuo indirizzo del portafoglio TRC20

Raccomandiamo ai ricercatori di creare un account privato dedicato su Coincall.

- Il prezzo CALL varierà con le fluttuazioni del mercato delle criptovalute.

Nota:

1. Per segnalare vulnerabilità, contattaci a bug_bounty@coincall.com .

2. Si prega di notare che solo le segnalazioni che forniscono una prova valida e dimostrano come sfruttare una vulnerabilità specifica sono idonee per una ricompensa. Coincall si riserva il diritto di prendere la decisione finale su quali segnalazioni soddisfano i criteri di ricompensa.

3. Coincall si impegna a collaborare con la comunità per garantire che il contributo di ciascun ricercatore sia premiato in modo equo. Per vulnerabilità di sicurezza che influenzano significativamente il nostro business, offriremo ricompense aggiuntive.

Ambito

- .coincall.com
- App iOS di Coincall
- App Android di Coincall

Nota: Qualsiasi dominio/asset non elencato è fuori dall'ambito. Se ritieni che un asset o un'attività specifica non menzionata qui dovrebbe essere inclusa nell'ambito, ti preghiamo di inviare una segnalazione e spiegare brevemente perché pensi che dovrebbe essere incluso.

I ricercatori non devono tentare di spostare fondi. Se la prova del concetto richiede un tale tentativo, i ricercatori devono prima contattare Coincall e chiedere l'approvazione. I ricercatori che tentano di spostare fondi senza previa approvazione non sono idonei per un bounty.

Se un problema segnalato in uno dei nostri sistemi aziendali influisce anche su altri sistemi aziendali con la stessa causa, il problema sarà considerato come un unico problema. Non segnalare lo stesso bug più volte.

Alcuni esempi di vulnerabilità di nostro interesse:

- Vulnerabilità che potrebbero portare alla perdita remota di fondi/asset degli utenti
- Denial of Service dell'applicazione aziendale principale (escludendo DDOS & CC)
- Esecuzione remota di codice
- Iniezione SQL
- SSRF
- Lettura arbitraria di file

- Vulnerabilità della logica di business
- ...

Problemi non idonei (saranno chiusi perché fuori dall'ambito):

- Vulnerabilità teoriche senza prova pratica del concetto
- Problemi che non influenzano la sicurezza (ad esempio, impossibilità di caricare una pagina web)
- Asset non di proprietà di Coincall

-Problemi legati alle migliori pratiche di sicurezza che non sono vulnerabilità direttamente sfruttabili.

- Difetti di convalida dell'email, scadenza del link per il ripristino della password e politiche di complessità della password
- Record SPF (Sender Policy Framework) non validi o mancanti (record SPF/DKIM/DMARC incompleti o mancanti)
- Modifiche di interfaccia utente o clickjacking a basso rischio
- Enumerazione di email o utenti (ad esempio, identificazione della registrazione dell'email tramite reset della password)
- Divulgazioni di informazioni a basso rischio (ad esempio, tracce di stack, divulgazioni di percorsi, elenchi di directory, registri)
- Problemi noti internamente, duplicati o già resi pubblici
- Tab-nabbing
- Self-XSS
- Vulnerabilità dipendenti da browser o piattaforme obsolete (ad esempio, XSS basato su Adobe Flash)
- Vulnerabilità legate al riempimento automatico di moduli web senza prova pratica del concetto
- Flag di sicurezza mancanti nei cookie
- Problemi relativi a suite di cifratura SSL/TLS non sicure o versioni di protocollo
- Falsificazione di contenuti
- Problemi relativi al controllo della cache
- Esposizione di indirizzi IP o domini interni
- Intestazioni di sicurezza mancanti che non portano a un'exploitazione diretta
- CSRF su funzioni non critiche (ad esempio, accesso, logout, abbonamento a funzioni non critiche)
- Vulnerabilità che richiedono permessi di root/jailbreak
- Vulnerabilità che richiedono accesso fisico ai dispositivi degli utenti
- Comportamenti che influenzano le normali operazioni aziendali (ad esempio, attacchi DoS/DDoS)
- Segnalazioni da strumenti o scansioni automatizzate
- Collegamenti a pagine non valide/scadute
- Rischi associati a Zendesk e altre piattaforme di terze parti
- Spam
- Ingegneria sociale
- Problemi di basso impatto legati alla gestione delle sessioni