Programa de Bug Bounty
Acerca del programa Bug Bounty
El programa Bug Bounty de Purse permite a los desarrolladores descubrir y resolver errores antes de que el público en general se entere de ellos, evitando incidentes. Si encuentra una vulnerabilidad de seguridad en el sitio web Purse.io o en la API, háganoslo saber de inmediato. Revise la siguiente información antes de enviar un informe:
Atributos de una vulnerabilidad útil
Eres la primera persona en revelar de manera responsable la vulnerabilidad de seguridad.
La vulnerabilidad reportada podría comprometer la integridad de los datos del usuario, eludir las protecciones de privacidad de los datos del usuario o permitir el acceso a un sistema dentro de nuestra infraestructura.
Mientras investigaba las vulnerabilidades, hizo todo lo posible por utilizar una cuenta de prueba en lugar de una cuenta real.
Mientras investigaba las vulnerabilidades, no causó ninguna interrupción del servicio a los clientes de PurseIO. Aún así, nunca lo procesaremos si no causó daños más allá de la Denegación de servicio a muy corto plazo, sin embargo, los métodos de prueba irresponsables pueden afectar su nivel de recompensa.
Mientras investigaba las vulnerabilidades, no tuvo interacción con otras cuentas sin el consentimiento de sus propietarios.
Cómo enviar un informe
Si se encuentra una vulnerabilidad de seguridad que cumple con los requisitos anteriores, envíe un informe comunicándose con nosotros en security@purse.io
Qué enviar en un informe
Proporcione pasos detallados que expliquen cómo reproducir la vulnerabilidad de seguridad. Esto debe incluir los enlaces en los que hizo clic, las páginas que visitó, las URL, los ID de usuario, etc. Proporcione descripciones claras de las cuentas utilizadas en su informe y las relaciones entre ellas.
Si envía una imagen o un video, por favor sea breve mostrando solo las partes necesarias. Grabe con una resolución legible. Asegúrese de que el idioma del video sea inglés para ayudarnos a identificar rápidamente el problema. Si aparece una gran cantidad de texto en su video, incluya también una copia del texto en su mensaje. Mantenga la privacidad del video subiéndolo como archivo adjunto.
Las recompensas por errores que califiquen oscilan entre $ 100 y $ 10,000 pagaderos en Bitcoin (BTC). La siguiente tabla describe las recompensas habituales elegidas para las clases de errores más comunes *:
_ * El monto final siempre se elige a discreción del panel de recompensas. En particular, podemos decidir pagar recompensas más altas por aquellas vulnerabilidades inusualmente inteligentes o severas; más bajas por vulnerabilidades que requieren una interacción inusual del usuario; decidir que un solo informe constituye en realidad varios errores; o que varios informes están tan estrechamente relacionados solo garantizan una única recompensa.
Línea de tiempo
Nos comprometemos a responder a cualquier informe de error dentro de los 30 días posteriores a la recepción. Evaluaremos cuánto tiempo se necesita para hacer las correcciones necesarias y responderemos dentro de ese período de 30 días con el monto de la Recompensa, así como el plazo para la finalización y la fecha de pago. Respete este cronograma y sea paciente.
Vulnerabilidades fuera de alcance
Al informar vulnerabilidades, considere (1) el escenario de ataque / la posibilidad de explotación y (2) el impacto del error en la seguridad. Los siguientes problemas se consideran fuera de alcance:
Clickjacking en páginas sin acciones sensibles
Falsificación de solicitudes entre sitios (CSRF) en formularios no autenticados o formularios sin acciones sensibles
Ataques que requieren MITM o acceso físico al dispositivo de un usuario.
Bibliotecas vulnerables previamente conocidas sin una prueba de concepto que funcione.
Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad.
Faltan mejores prácticas en la configuración de SSL / TLS.
Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque / sin poder modificar HTML / CSS
Limitación de velocidad o problemas de fuerza bruta en puntos finales sin autenticación
Faltan prácticas en la Política de seguridad de contenido.
Faltan banderas HttpOnly o Secure en las cookies
Falta de las mejores prácticas de correo electrónico (registros SPF / DKIM / DMARC no válidos, incompletos o faltantes, etc.)
Vulnerabilidades que solo afectan a los usuarios de navegadores desactualizados o sin parches [Menos de 2 versiones estables detrás de la última versión estable lanzada]
Divulgación de la versión del software / Problemas de identificación del banner / Mensajes de error descriptivos o encabezados (por ejemplo, seguimientos de pila, errores de aplicación o servidor).
Las vulnerabilidades públicas hayan tenido un parche oficial durante menos de 1 mes se otorgarán caso por caso.
Tabnabbing
Redireccionamiento abierto: a menos que se pueda demostrar un impacto de seguridad adicional
Problemas que requieren una interacción poco probable del usuario
Puerto seguro
Cualquier actividad realizada de manera consistente con esta política se considerará una conducta autorizada y no iniciaremos acciones legales en su contra. Si un tercero inicia una acción legal contra usted en relación con las actividades realizadas en virtud de esta política, tomaremos medidas para informar que sus acciones se llevaron a cabo de conformidad con esta política.
Actualizado el: 24/01/2021
¡Gracias!