О программе

Coincall - ведущая мировая платформа для торговли деривативами криптовалют, посвященная созданию торговой экосистемы, которая одновременно проста в использовании и мощна в функциональности. Благодаря нашим инновационным технологиям и удобному дизайну мы делаем торговлю опционами и фьючерсами доступной не только для финансовых экспертов, но и для инвесторов по всему миру, раскрывая огромный потенциал криптовалютного рынка. С Coincall мы стремимся улучшить финансовую свободу и эффективность торговли глобальных пользователей на рынке деривативов криптовалют.

 Политика

В Coincall безопасность информации и средств наших пользователей является нашим главным приоритетом. Поэтому мы стремимся обеспечить самую безопасную платформу и создать наиболее надежную торговую среду. Мы оцениваем сообщенные уязвимости по их влиянию как на наших пользователей, так и на все бизнес-системы под Coincall.

Эта политика вознаграждений описывает правила Программы Наград за Уязвимости Coincall, включая условия участия и вознаграждения за уязвимости.

Наши награды основаны на уровнях серьезности CVSS (Common Vulnerability Scoring System). Обратите внимание, что это общие рекомендации, и окончательные награды определяются Coincall на основе влияния и возможности эксплуатации. Минимальная выплата за сообщения о низкой серьезности, но потенциально прямоуязвимых проблемах составляет $100. Максимальная награда - $3,000, и мы можем предложить большие суммы за уязвимости, которые считаются серьезными или креативными.

Награды могут быть выплачены в USDT или CALL.

После принятия вашего сообщения, чтобы получить вознаграждение, предоставьте одно из следующих:

- Ваши зарегистрированные данные аккаунта на Coincall (электронная почта)
- Ваш адрес кошелька TRC20

Рекомендуем исследователям создать специальный личный аккаунт Coincall.

- Цена CALL будет меняться в соответствии с колебаниями криптовалютного рынка.

Примечание:

1. Для сообщения о уязвимостях обратитесь к нам по адресу bug_bounty@coincall.com .

2. Обратите внимание, что только те отчеты, которые предоставляют действительные доказательства и демонстрируют, как эксплуатировать определенную уязвимость, имеют право на вознаграждение. Coincall оставляет за собой право принять окончательное решение о том, какие отчеты соответствуют критериям награды.

3. Coincall надеется на сотрудничество с сообществом, чтобы обеспечить справедливое вознаграждение за вклад каждого исследователя. За уязвимости, значительно влияющие на наш бизнес, мы предложим дополнительные награды.

Область применения

- .coincall.com
- Приложение Coincall для iOS
- Приложение Coincall для Android

Примечание: Любые домены/активы, не указанные в списке, не входят в область применения. Если вы считаете, что конкретный актив или деятельность, не упомянутые здесь, должны быть включены в область применения, пожалуйста, отправьте отчет и кратко объясните, почему вы считаете, что он должен быть включен.

Исследователи не должны пытаться перемещать какие-либо средства. Если доказательство концепции требует такой попытки, исследователи должны сначала связаться с Coincall и получить одобрение. Исследователи, которые пытаются переместить средства без предварительного одобрения, не имеют права на вознаграждение.

Если проблема, сообщенная в одном из наших бизнес-систем, также затрагивает другие бизнес-системы с тем же причинным фактором, проблема будет рассматриваться как одна проблема. Пожалуйста, не сообщайте о той же ошибке несколько раз.

Некоторые примеры уязвимостей, которые нас интересуют:

- Уязвимости, которые могут привести к удаленной потере средств/активов пользователей
- Отказ в обслуживании основного бизнес-приложения (исключая DDOS и CC)
- Удаленное выполнение кода
- SQL-инъекции
- SSRF
- Произвольное чтение файлов

- Уязвимости бизнес-логики
- ...

Недопустимые проблемы (будут закрыты из-за выхода за рамки):

- Теоретические уязвимости без практического доказательства концепции
- Проблемы, не затрагивающие безопасность (например, невозможность загрузки веб-страницы)
- Активы, не принадлежащие Coincall

- Проблемы, связанные с лучшими практиками безопасности, которые не являются уязвимостями, поддающимися прямой эксплуатации.
- Ошибки валидации электронной почты, истечение срока действия ссылки на сброс пароля и политики сложности пароля
- Недействительные или отсутствующие записи SPF (Sender Policy Framework) (неполные или отсутствующие SPF/DKIM/DMARC)
- Малорисковый кликджекинг/модификации пользовательского интерфейса
- Перечисление электронной почты или пользователей (например, определение регистрации по электронной почте через сброс пароля)
- Малорисковые раскрытия информации (например, трассировка стека, раскрытие пути, список каталогов, журналы)
- Известные внутренние проблемы, дублирующие проблемы или проблемы, уже сделанные публичными
- Подделка вкладки
- Self-XSS
- Уязвимости, зависящие от устаревших браузеров или платформ (например, XSS, опирающиеся на Adobe Flash)
- Уязвимости, связанные с автоматическим заполнением веб-форм без практического доказательства концепции
- Отсутствие защитных флагов в куки
- Проблемы, связанные с небезопасными шифровальными наборами SSL/TLS или версиями протоколов
- Подделка контента
- Проблемы, связанные с управлением кэшем
- Раскрытие внутренних IP-адресов или доменов
- Отсутствие защитных заголовков, не приводящих к непосредственной эксплуатации
- CSRF на некритических функциях (например, вход, выход, подписка на некритические функции)
- Уязвимости, требующие прав root/jailbreak
- Уязвимости, требующие физического доступа к устройствам пользователей
- Поведение, влияющее на нормальные операции бизнеса (например, DoS/DDoS)
- Отчеты от автоматизированных инструментов или сканов
- Ссылки на недействительные/истекшие страницы
- Риски, связанные с Zendesk и другими сторонними платформами
- Рассылка спама
- Социальная инженерия
- Низкорисковые проблемы, связанные с управлением сеансами