Επιλέξτε μια επιλογή:
Γλώσσα:

Υπεύθυνη Γνωστοποίηση

Η Coinomi εκτιμά την εργασία που επιτελούν οι ερευνητές ασφαλείας για τη βελτίωση της ασφάλειας των προϊόντων και των υπηρεσιών μας. Δεσμευόμαστε να συνεργαζόμαστε με την κοινότητα για την επαλήθευση, την αναπαραγωγή και την ανταπόκριση σε νόμιμες αναφορές ευπαθειών. Ενθαρρύνουμε την κοινότητα να συμμετέχει στη διαδικασία υπεύθυνης γνωστοποίησης.

Εάν είστε ερευνητής ασφαλείας και θέλετε να αναφέρετε μια ευπάθεια, στείλτε ένα email στη διεύθυνση: [email protected] Παρακαλούμε να παρέχετε το όνομα, τα στοιχεία επικοινωνίας και την επωνυμία της εταιρείας σας (εάν υπάρχει) με κάθε αναφορά. Προτεραιότητα θα δοθεί σε κρυπτογραφημένες αναφορές — παρακαλούμε να συμπεριλάβετε το δημόσιο κλειδί PGP μαζί με την αναφορά.

Λήψη του κλειδιού Coinomi PGP

Οδηγίες Υπεύθυνης Γνωστοποίησης

Θα διερευνήσουμε τις νόμιμες αναφορές και θα καταβάλουμε κάθε δυνατή προσπάθεια για να διορθώσουμε γρήγορα οποιαδήποτε επιβεβαιωμένη ευπάθεια. Για να ενθαρρύνουμε την υπεύθυνη αναφορά, δεσμευόμαστε ότι δεν θα προβούμε σε νομικές ενέργειες εναντίον σας και δεν θα ζητήσουμε από τις αρχές επιβολής του νόμου να σας ερευνήσουν εάν συμμορφώνεστε με τις ακόλουθες Οδηγίες Υπεύθυνης Γνωστοποίησης:

  1. Παρέχετε λεπτομέρειες για την ευπάθεια, συμπεριλαμβανομένων των πληροφοριών που απαιτούνται για την αναπαραγωγή και την επικύρωση της ευπάθειας και μια Απόδειξη Εννοιολόγησης (POC).
  2. Καταβάλετε καλόπιστη προσπάθεια για την αποφυγή παραβιάσεων της ιδιωτικής ζωής, την καταστροφή δεδομένων και τη διακοπή ή την υποβάθμιση των υπηρεσιών μας.
  3. Μην τροποποιείτε ή έχετε πρόσβαση σε δεδομένα που δεν σας ανήκουν.
  4. Δώστε μας εύλογο χρονικό διάστημα για να διορθώσουμε το πρόβλημα πριν δημοσιοποιήσετε οποιαδήποτε πληροφορία.
  5. Δεχόμαστε αναφορές μόνο για υπηρεσίες που παρέχονται αποκλειστικά από την Coinomi και όχι από τρίτους.

Θα καταβάλουμε κάθε δυνατή προσπάθεια για να απαντήσουμε στην γνωστοποίησή σας εντός 1-2 εργάσιμων ημερών.

Οι γνωστοποιήσεις που δεν συμμορφώνονται πλήρως με τις παραπάνω οδηγίες δεν θα είναι επιλέξιμες για αμοιβές ή για οποιαδήποτε από τις διαβεβαιώσεις που συζητούνται σε αυτές.

Εφαρμογές

Ενδιαφερόμαστε κυρίως για ευπάθειες που θα επέτρεπαν τελικά στους επιτιθέμενους να θέσουν σε κίνδυνο πορτοφόλια ή/και κρυπτογραφικά περιουσιακά στοιχεία από εφαρμογές της Coinomi.

Αυτές οι ευπάθειες είναι εντός πεδίου εφαρμογής:

  1. Παράκαμψη του PIN ή των βιομετρικών στοιχείων, εξαιρουμένων των λειτουργιών που παρέχονται εγγενώς από το λειτουργικό σύστημα
  2. Παράκαμψη της επιβεβαίωσης του χρήστη για την υπογραφή μιας συναλλαγής
  3. Διαρροές ευαίσθητων δεδομένων μέσω πρόσβασης στη μνήμη, δικτυακής κίνησης, τοπικής αποθήκευσης συσκευής κ.λπ.
  4. Επιθέσεις σε δέντρα εξαρτήσεων, αλλιώς γνωστές ως επιθέσεις στην εφοδιαστική αλυσίδα
  5. Ευπάθειες κρυπτογραφίας που σχετίζονται με την παραγωγή BIP-39/32/44 και τις ελλειπτικές καμπύλες

Αυτές οι ευπάθειες είναι εκτός πεδίου εφαρμογής:

  1. Μη κρυπτογραφημένα διακριτικά υπηρεσίας Firebase.
Ιστοσελίδες

Ενδιαφερόμαστε για κρίσιμες ευπάθειες στην υποδομή μας, συμπεριλαμβανομένου του front και του backend.

Αυτές οι ευπάθειες είναι εκτός πεδίου εφαρμογής:

  1. Παρουσία/απουσία εγγραφών SPF/DMARC.
  2. Έλλειψη διακριτικών CSRF.
  3. Ζητήματα Clickjacking και tabnagging.
  4. Ελλείποντες κεφαλίδες ασφαλείας που δεν οδηγούν άμεσα σε ευπάθεια.
  5. Ελλείποντες βέλτιστες πρακτικές (απαιτούμε αποδείξεις ευπάθειας ασφαλείας).
  6. Αναφορές από αυτοματοποιημένα εργαλεία ή σαρώσεις.
  7. Αναφορές μη ασφαλών κρυπτογραφήσεων SSL/TLS (εκτός εάν έχετε μια αποδεδειγμένη απόδειξη εννοιολόγησης, και όχι απλώς μια αναφορά από έναν σαρωτή).
  8. Απουσία περιορισμού ρυθμού.
  9. Ξεπερασμένο λογισμικό χωρίς αξιοσημείωτη ευπάθεια.
  10. Σπασμένοι σύνδεσμοι.
  11. Ευπάθειες σε υπηρεσίες τρίτων, π.χ. Zendesk, Twitter. κ.λπ. (αναφέρετε απευθείας σε αυτούς)