Programa de Bug Bounty | Coins.xyz

Programa de Bug Bounty

Data de Vigência: 17 de maio de 2024

Última atualização: 17 de maio de 2024

A Coins.xyz reconhece a importância e o valor dos esforços de pesquisadores de segurança em ajudar a manter nossos serviços seguros. Encorajamos a divulgação responsável de vulnerabilidades por meio do nosso programa público de bug bounty (“Programa de Bug Bounty”) descrito nesta página.

O escopo do Programa de Bug Bounty abrange todas as vulnerabilidades de software nos serviços fornecidos pela Coins.xyz.

Um relatório válido deve demonstrar claramente uma vulnerabilidade de software que prejudique os sistemas ou clientes da Coins.xyz. Para ser elegível a uma recompensa, o relatório deve estar dentro do escopo definido. A Coins.xyz determinará, a seu exclusivo critério, se um relatório é elegível para recompensa e o valor do prêmio.

Políticas do Programa

A Coins.xyz não iniciará ações legais contra pesquisas de segurança conduzidas de boa fé e em conformidade com este documento, mesmo em casos de violações acidentais. Atividades realizadas de acordo com esta política serão consideradas “autorizadas” pelas leis aplicáveis, como o Computer Fraud and Abuse Act, o DMCA e o Código Penal da Califórnia (502(c)).

Se terceiros tomarem medidas legais contra você e você tiver cumprido esta política, tomaremos medidas para demonstrar que sua conduta estava em conformidade. No entanto, a Coins.xyz não autoriza pesquisas em sistemas ou redes de terceiros.

Antes de realizar qualquer ação que não esteja claramente definida nesta política, entre em contato pelo e-mail [email protected] com uma breve descrição do que você pretende fazer. Nossa equipe analisará se sua atividade está em conformidade com as políticas do programa.

Requisitos para Pesquisadores

Para cumprir as políticas do Programa de Bug Bounty, os pesquisadores devem seguir os princípios de Divulgação Responsável:

  • Conceder à Coins.xyz um tempo razoável para corrigir a vulnerabilidade antes de compartilhá-la com terceiros.
  • Preservar a confidencialidade e integridade dos dados de clientes da Coins.xyz.
  • Evitar fraudar ou explorar vulnerabilidades fora do escopo do programa.
  • Relatar vulnerabilidades sem condições, exigências ou ameaças de resgate.

A Coins.xyz proíbe ataques de Engenharia Social contra funcionários. Qualquer violação resultará no banimento imediato do programa.

Domínios no Escopo

  • *coins.xyz

Exclusões

Relatórios que se enquadram nas seguintes categorias não serão considerados válidos:

  • Vulnerabilidades teóricas sem prova de conceito.
  • Problemas conhecidos, duplicados ou divulgados publicamente.
  • Self-XSS, Tab-nabbing, ou Clickjacking com impacto mínimo.
  • Vulnerabilidades exploráveis apenas em navegadores desatualizados.
  • Falta de segurança em cookies fora do domínio api.coins.asia.
  • Problemas que não têm impacto de segurança (ex.: erro ao carregar uma página).
  • Ativos que não pertencem à Coins.xyz.
  • Atividades como phishing ou DoS/DDoS.

Relatando Vulnerabilidades

Relate vulnerabilidades para [email protected]. Para serem consideradas válidas, os relatórios devem incluir:

  • Prova de conceito ou passos detalhados para reproduzir a vulnerabilidade.
  • O cálculo do score CVSS v3.1. Use a calculadora CVSS v3.1 para facilitar o processo.

Avaliação de Relatórios

Pontuação CVSS v3.1 Categoria Recompensa
9.0 – 10.0 Crítica $5000
7.0 – 8.9 Alta $1500
4.0 – 6.9 Média $500
0.1 – 3.9 Baixa $10

Bônus adicionais podem ser concedidos dependendo da gravidade ou criatividade do relatório.

Como Entrar em Contato

Para dúvidas ou preocupações, entre em contato com nossa equipe pelo e-mail [email protected]. Estamos à disposição para ajudar!