Sobre
A Coincall é uma das principais plataformas globais de negociação de derivativos de criptomoedas, dedicada a criar um ecossistema de negociação que seja tanto simples de usar quanto poderoso em funcionalidade. Através de nossa tecnologia inovadora e design amigável, tornamos a negociação de opções e futuros acessível não apenas a especialistas financeiros, mas a investidores em todo o mundo, liberando o vasto potencial do mercado de criptomoedas. Com a Coincall, nosso objetivo é melhorar a liberdade financeira e a eficiência de negociação dos usuários no mercado de derivativos de criptomoedas.
Política
Na Coincall, a segurança das informações e fundos de nossos usuários é nossa principal prioridade. Estamos empenhados em fornecer a plataforma mais segura e criar o ambiente de negociação mais seguro possível. Avaliamos os problemas de segurança relatados com base em seu impacto em nossos usuários e todos os sistemas comerciais sob a Coincall.
Esta política de recompensas estabelece as regras do Programa de Recompensas por Vulnerabilidades da Coincall, incluindo elegibilidade e recompensas por vulnerabilidades.
Nossas recompensas são baseadas nos níveis de gravidade do CVSS (Sistema de Pontuação de Vulnerabilidade Comum). Por favor, note que estas são diretrizes gerais, e as recompensas finais são determinadas pela Coincall com base no impacto e na exploração. O pagamento mínimo para relatórios de problemas de menor gravidade, mas potencialmente diretamente exploráveis, é de $100. A recompensa máxima é de $3,000, e valores mais altos podem ser oferecidos para vulnerabilidades graves ou criativas.
Gravidade | Faixa de Recompensa |
Exemplos
|
---|---|---|
Crítico | $1.000 - $3.000 | Vulnerabilidades que permitem o acesso não autorizado a fundos de usuários, informações sensíveis, resultando em perdas financeiras significativas ou afetando o comércio normal (viável, não conceitual). |
Alto | $500 - $1.000 |
Injeção de SQL, execução remota de código, execução de comandos e vulnerabilidades na lógica de negócios de transações em operações comerciais principais. |
Médio | $200 - $500 | Injeção de SQL e vulnerabilidades na lógica de negócios de transações em operações comerciais gerais. |
Baixo | $100 | XSS refletido, redirecionamento de solicitações, etc. |
As recompensas podem ser pagas em USDT ou tokens CALL.
Uma vez que a sua submissão for aceita, para receber uma recompensa, por favor forneça uma das seguintes opções:
- Suas informações de conta registrada na Coincall (e-mail)
- Seu endereço de carteira TRC20
Recomendamos que os pesquisadores criem uma conta privada dedicada na Coincall.
- O preço do CALL variará com as flutuações do mercado de criptomoedas.
Nota:
1. Para relatar vulnerabilidades, entre em contato conosco em bug_bounty@coincall.com.
2. Apenas relatórios que forneçam prova válida e demonstrem como explorar uma vulnerabilidade específica são elegíveis para uma recompensa. A Coincall reserva-se o direito de tomar a decisão final sobre quais relatórios atendem aos critérios de recompensa.
3. A Coincall espera colaborar com a comunidade para garantir que a contribuição de cada pesquisador seja devidamente recompensada. Para vulnerabilidades de segurança que impactem significativamente nossos negócios, ofereceremos recompensas adicionais.
Abrangência
- .coincall.com
- Aplicativo iOS da Coincall
- Aplicativo Android da Coincall
Nota: Quaisquer domínios/ativos não listados estão fora do escopo. Se você acredita que um ativo ou atividade específica não mencionada aqui deve estar dentro do escopo, por favor, envie um relatório e explique brevemente por que acha que deve ser incluído.
Os pesquisadores não devem tentar mover quaisquer fundos. Se a prova de conceito exigir tal tentativa, os pesquisadores devem primeiro entrar em contato com a Coincall e buscar aprovação. Pesquisadores que tentarem mover fundos sem aprovação prévia não são elegíveis para uma recompensa.
Se um problema relatado em um de nossos negócios/sistemas também afetar outros negócios/sistemas com a mesma causa, o problema será considerado como um único problema. Por favor, não relate o mesmo bug várias vezes.
Exemplos de vulnerabilidades que nos interessam:
- Vulnerabilidades que possam levar à perda remota de fundos/ativos do usuário
- Negação de serviço na aplicação principal de negócios (excluindo DDOS & CC)
- Execução remota de código
- Injeção de SQL
- SSRF
- Leitura arbitrária de arquivos
- Vulnerabilidades de lógica de negócios
- ...
Problemas não elegíveis (serão fechados por estarem fora do escopo):
- Vulnerabilidades teóricas sem prova de conceito prática
- Problemas que não afetam a segurança (por exemplo, incapacidade de carregar uma página da web)
- Ativos que não são de propriedade da Coincall
- Questões relacionadas às melhores práticas de segurança que não são vulnerabilidades diretamente exploráveis.
- Falhas de validação de e-mail, expiração de link de redefinição de senha e políticas de complexidade de senha
- Registros SPF inválidos ou ausentes (SPF/DKIM/DMARC incompletos ou ausentes)
- Modificações de baixo risco de clique (clickjacking)/UI
- Enumeração de e-mail ou usuário (por exemplo, identificar registro de e-mail através de redefinição de senha)
- Divulgações de informações de baixo risco (por exemplo, rastreamentos de pilha, divulgações de caminhos, listagens de diretórios, logs)
- Problemas conhecidos internamente, problemas duplicados ou problemas já divulgados publicamente
- Tab-nabbing
- Auto-XSS
- Vulnerabilidades dependentes de navegadores ou plataformas desatualizadas (por exemplo, XSS que depende do Adobe Flash)
- Vulnerabilidades relacionadas ao preenchimento automático de formulários da web sem prova de conceito prática
- Ausência de bandeiras de segurança em cookies
- Problemas relacionados a suites de criptografia SSL/TLS inseguras ou versões de protocolo
- Falsificação de conteúdo
- Problemas relacionados ao controle de cache
- Exposição de endereços IP ou domínios internos
- Cabeçalhos de segurança ausentes que não levam a exploração direta
- CSRF em funções não críticas (por exemplo, login, logout, assinatura de recursos não críticos)
- Vulnerabilidades que exigem acesso root/jailbreak
- Vulnerabilidades que exigem acesso físico aos dispositivos do usuário
- Comportamentos que afetam as operações comerciais normais (por exemplo, DoS/DDoS)
- Relatórios de ferramentas ou scanners automatizados
- Links para páginas inválidas/expiradas
- Riscos associados ao Zendesk e outras plataformas de terceiros
- Spamming
- Engenharia social
- Problemas de baixo impacto relacionados à gestão de sessões
Comentários
0 comentário
Por favor, entrar para comentar.