اختر خيارًا:
اللغة:

الإفصاح المسؤول

تقدر كوينومي العمل الذي يقوم به باحثو الأمن لتحسين أمان منتجاتنا وخدماتنا. نحن ملتزمون بالعمل مع المجتمع للتحقق من الثغرات المبلغ عنها بشكل مشروع وإعادة إنتاجها والاستجابة لها. نشجع المجتمع على المشاركة في عملية الإفصاح المسؤول الخاصة بنا.

إذا كنت باحثًا أمنيًا وترغب في الإبلاغ عن ثغرة أمنية، فيرجى إرسال بريد إلكتروني إلى: [email protected] يرجى تقديم اسمك ومعلومات الاتصال واسم الشركة (إن وجد) مع كل تقرير. سيتم منح الأولوية للتقارير المشفرة - يرجى تضمين مفتاح PGP العام الخاص بك مع التقرير.

تنزيل مفتاح PGP الخاص بـ كوينومي

إرشادات الإفصاح المسؤول

سنتحقق من التقارير المشروعة وسنبذل قصارى جهدنا لتصحيح أي ثغرة مؤكدة بسرعة. لتشجيع الإبلاغ المسؤول، نتعهد بأننا لن نتخذ أي إجراء قانوني ضدك أو نطلب من جهات إنفاذ القانون التحقيق معك إذا امتثلت لإرشادات الإفصاح المسؤول التالية:

  1. قدم تفاصيل الثغرة، بما في ذلك المعلومات اللازمة لإعادة إنتاج الثغرة والتحقق منها، وإثبات المفهوم (POC).
  2. بذل جهدًا حسن النية لتجنب انتهاكات الخصوصية وتدمير البيانات وتعطيل خدماتنا أو تدهورها.
  3. لا تقم بتعديل أو الوصول إلى البيانات التي لا تنتمي إليك.
  4. امنحنا وقتًا معقولاً لتصحيح المشكلة قبل نشر أي معلومات.
  5. نقبل فقط التقارير الخاصة بالخدمات التي تقدمها كوينومي حصريًا، وليس من قبل أي طرف ثالث.

سنبذل قصارى جهدنا للرد على إفصاحك في غضون 1-2 يوم عمل.

لن تكون الإفصاحات التي لا تتوافق تمامًا مع الإرشادات المذكورة أعلاه مؤهلة للحصول على مكافآت أو أي من الضمانات التي تمت مناقشتها فيها.

التطبيقات

نحن مهتمون بشكل أساسي بالثغرات التي تسمح للمهاجمين في النهاية باختراق المحافظ و/أو أصول العملات الرقمية من تطبيقات كوينومي.

الثغرات التالية ضمن النطاق:

  1. تجاوز رمز PIN أو القياسات الحيوية، باستثناء الوظائف التي يوفرها نظام التشغيل أصلاً
  2. تجاوز تأكيد المستخدم لتوقيع معاملة
  3. تسرب البيانات الحساسة عبر الوصول إلى الذاكرة وحركة مرور الشبكة والتخزين المحلي للجهاز وما إلى ذلك.
  4. شجرة التبعيات، والمعروفة أيضًا باسم هجمات سلسلة التوريد
  5. الثغرات في التشفير المتعلقة باشتقاق BIP-39/32/44 والمنحنيات البيضاوية

الثغرات التالية خارج النطاق:

  1. رموز خدمة Firebase غير المشفرة.
المواقع الإلكترونية

نحن مهتمون بالثغرات الحرجة في بنيتنا التحتية، بما في ذلك الواجهة الأمامية والخلفية.

الثغرات التالية خارج النطاق:

  1. وجود/عدم وجود سجلات SPF/DMARC.
  2. نقص رموز CSRF.
  3. مشكلات النقر واختطاف علامات التبويب.
  4. فقدان رؤوس الأمان التي لا تؤدي مباشرة إلى ثغرة أمنية.
  5. فقدان أفضل الممارسات (نطلب دليلًا على وجود ثغرة أمنية).
  6. تقارير من أدوات أو عمليات فحص آلية.
  7. تقارير عن تشفيرات SSL/TLS غير الآمنة (ما لم يكن لديك إثبات مفهوم عملي، وليس مجرد تقرير من الماسح الضوئي).
  8. عدم وجود تحديد معدل.
  9. برامج قديمة بدون أي ثغرة أمنية جديرة بالذكر.
  10. روابط معطلة.
  11. الثغرات في خدمات الطرف الثالث، مثل Zendesk و Twitter وما إلى ذلك (أبلغ عنها مباشرةً).