Odpowiedzialne ujawnianie luk w zabezpieczeniach

Coinomi ceni pracę wykonywaną przez badaczy bezpieczeństwa w celu poprawy bezpieczeństwa naszych produktów i usług. Jesteśmy zaangażowani we współpracę ze społecznością w celu weryfikacji, odtworzenia i reagowania na zgłoszone luki w zabezpieczeniach. Zachęcamy społeczność do uczestnictwa w naszym procesie odpowiedzialnego ujawniania luk w zabezpieczeniach.

Jeśli jesteś badaczem bezpieczeństwa i chcesz zgłosić lukę w zabezpieczeniach, wyślij e-mail na adres: [email protected] Do każdego zgłoszenia dołącz swoje imię i nazwisko, dane kontaktowe oraz nazwę firmy (jeśli dotyczy). Priorytet będą miały zgłoszenia zaszyfrowane — prosimy o dołączenie klucza publicznego PGP do zgłoszenia.

Pobierz klucz PGP Coinomi

Wytyczne dotyczące odpowiedzialnego ujawniania luk w zabezpieczeniach

Będziemy badać uzasadnione zgłoszenia i dołożymy wszelkich starań, aby szybko poprawić każdą potwierdzoną lukę w zabezpieczeniach. Aby zachęcić do odpowiedzialnego zgłaszania, zobowiązujemy się, że nie podejmiemy przeciwko Tobie kroków prawnych ani nie zwrócimy się do organów ścigania o wszczęcie dochodzenia, jeśli będziesz przestrzegać następujących wytycznych dotyczących odpowiedzialnego ujawniania luk w zabezpieczeniach:

1. Podaj szczegóły luki w zabezpieczeniach, w tym informacje potrzebne do odtworzenia i zweryfikowania luki oraz dowód koncepcji (POC).
2. W dobrej wierze dołóż wszelkich starań, aby uniknąć naruszeń prywatności, zniszczenia danych oraz zakłóceń lub pogorszenia jakości naszych usług.
3. Nie modyfikuj ani nie uzyskuj dostępu do danych, które nie należą do Ciebie.
4. Daj nam rozsądny czas na poprawienie problemu, zanim upublicznisz jakiekolwiek informacje.
5. Akceptujemy tylko zgłoszenia dotyczące usług świadczonych wyłącznie przez Coinomi, a nie przez osoby trzecie.

Dołożymy wszelkich starań, aby odpowiedzieć na Twoje zgłoszenie w ciągu 1-2 dni roboczych.

Zgłoszenia, które nie są w pełni zgodne z powyższymi wytycznymi, nie będą uprawnione do nagród ani żadnych gwarancji w nich omówionych.

Aplikacje

Jesteśmy głównie zainteresowani lukami w zabezpieczeniach, które ostatecznie umożliwiłyby atakującym naruszenie portfeli i/lub aktywów kryptowalutowych z aplikacji Coinomi.

Następujące luki w zabezpieczeniach są objęte zakresem:

1. Ominięcie kodu PIN lub danych biometrycznych, z wyłączeniem funkcji dostarczanych natywnie przez system operacyjny
2. Ominięcie potwierdzenia użytkownika w celu podpisania transakcji
3. Wykrycie wycieku wrażliwych danych poprzez dostęp do pamięci, ruch sieciowy, lokalną pamięć urządzenia itp.
4. Ataki na drzewo zależności, czyli ataki na łańcuch dostaw
5. Luki w kryptografii związane z wyprowadzeniem BIP-39/32/44 i krzywymi eliptycznymi

Następujące luki w zabezpieczeniach są poza zakresem:

1. Nieszyfrowane tokeny usługi Firebase.

Strony internetowe

Jesteśmy zainteresowani krytycznymi lukami w zabezpieczeniach naszej infrastruktury, w tym front-endu i back-endu.

Następujące luki w zabezpieczeniach są poza zakresem:

1. Obecność/brak rekordów SPF/DMARC.
2. Brak tokenów CSRF.
3. Problemy związane z clickjackingiem i tabnaggingiem.
4. Brak nagłówków bezpieczeństwa, które nie prowadzą bezpośrednio do luki w zabezpieczeniach.
5. Brak najlepszych praktyk (wymagamy dowodów na istnienie luki w zabezpieczeniach).
6. Raporty z automatycznych narzędzi lub skanów.
7. Raporty o niebezpiecznych szyfrach SSL/TLS (chyba że masz działający dowód koncepcji, a nie tylko raport ze skanera).
8. Brak ograniczenia szybkości.
9. Nieaktualne oprogramowanie bez żadnej godnej uwagi luki w zabezpieczeniach.
10. Niedziałające linki.
11. Luki w zabezpieczeniach usług stron trzecich, np. Zendesk, Twitter itp. (zgłaszaj bezpośrednio do nich)