Wähle eine Option:
Sprache:

Verantwortungsvolle Offenlegung

Coinomi schätzt die Arbeit von Sicherheitsforschern bei der Verbesserung der Sicherheit unserer Produkte und Dienstleistungsangebote. Wir verpflichten uns, mit der Community zusammenzuarbeiten, um legitime gemeldete Schwachstellen zu überprüfen, zu reproduzieren und darauf zu reagieren. Wir ermutigen die Community, an unserem Prozess der verantwortungsvollen Offenlegung teilzunehmen.

Wenn Sie Sicherheitsforscher sind und eine Schwachstelle melden möchten, senden Sie bitte eine E-Mail an: [email protected] Bitte geben Sie bei jedem Bericht Ihren Namen, Ihre Kontaktinformationen und den Namen Ihres Unternehmens (falls zutreffend) an. Verschlüsselten Berichten wird Priorität eingeräumt – bitte fügen Sie Ihrem Bericht Ihren öffentlichen PGP-Schlüssel bei.

Den öffentlichen PGP-Schlüssel von Coinomi herunterladen

Richtlinien für die verantwortungsvolle Offenlegung

Wir werden legitime Berichte untersuchen und alle Anstrengungen unternehmen, um jede bestätigte Schwachstelle schnell zu beheben. Um eine verantwortungsvolle Berichterstattung zu fördern, verpflichten wir uns, keine rechtlichen Schritte gegen Sie einzuleiten oder die Strafverfolgungsbehörden zu bitten, gegen Sie zu ermitteln, wenn Sie die folgenden Richtlinien für die verantwortungsvolle Offenlegung einhalten:

  1. Geben Sie Einzelheiten zur Schwachstelle an, einschließlich der Informationen, die zur Reproduktion und Validierung der Schwachstelle erforderlich sind, sowie einen Proof of Concept (POC).
  2. Bemühen Sie sich nach Treu und Glauben, Verletzungen der Privatsphäre, die Zerstörung von Daten und die Unterbrechung oder Beeinträchtigung unserer Dienste zu vermeiden.
  3. Ändern oder greifen Sie nicht auf Daten zu, die Ihnen nicht gehören.
  4. Geben Sie uns ausreichend Zeit, um das Problem zu beheben, bevor Sie Informationen öffentlich machen.
  5. Wir akzeptieren nur Berichte über Dienste, die ausschließlich von Coinomi und nicht von Dritten bereitgestellt werden.

Wir werden uns bemühen, innerhalb von 1-2 Werktagen auf Ihre Offenlegung zu antworten.

Offenlegungen, die die obigen Richtlinien nicht vollständig erfüllen, haben keinen Anspruch auf Prämien oder die darin enthaltenen Zusicherungen.

Anwendungen

Wir sind hauptsächlich an Schwachstellen interessiert, die es Angreifern letztendlich ermöglichen würden, Wallets und/oder Krypto-Assets von Coinomi-Anwendungen zu kompromittieren.

Diese Schwachstellen sind im Rahmen:

  1. Umgehung der PIN oder Biometrie, mit Ausnahme der vom Betriebssystem nativ bereitgestellten Funktionen
  2. Umgehung der Benutzerbestätigung zum Signieren einer Transaktion
  3. Lecks sensibler Daten über Speicherzugriff, Netzwerkverkehr, lokalen Gerätespeicher usw.
  4. Abhängigkeitsbaum, auch bekannt als Lieferkettenangriffe
  5. Kryptografische Schwachstellen im Zusammenhang mit der BIP-39/32/44-Ableitung und elliptischen Kurven

Diese Schwachstellen sind außerhalb des Rahmens:

  1. Unverschlüsselte Firebase-Service-Tokens.
Websites

Wir sind an kritischen Schwachstellen in unserer Infrastruktur interessiert, einschließlich Frontend und Backend.

Diese Schwachstellen sind außerhalb des Rahmens:

  1. Vorhandensein/Fehlen von SPF/DMARC-Einträgen.
  2. Fehlende CSRF-Tokens.
  3. Clickjacking- und Tabnabbing-Probleme.
  4. Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
  5. Fehlende Best Practices (wir benötigen den Nachweis einer Sicherheitslücke).
  6. Berichte von automatisierten Tools oder Scans.
  7. Berichte über unsichere SSL/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
  8. Fehlende Ratenbegrenzung.
  9. Veraltete Software ohne nennenswerte Schwachstelle.
  10. Defekte Links.
  11. Schwachstellen in Diensten von Drittanbietern, z. B. Zendesk, Twitter usw. (direkt an diese melden)