Ответственное раскрытие

Coinomi ценит работу, проделанную исследователями безопасности по улучшению защищенности наших продуктов и услуг. Мы стремимся работать с сообществом, чтобы проверять, воспроизводить и реагировать на сообщения о законных уязвимостях. Мы призываем сообщество участвовать в нашем процессе ответственного раскрытия информации.

Если вы являетесь исследователем в области безопасности и хотите сообщить об уязвимости, отправьте электронное письмо по адресу: [email protected] Пожалуйста, указывайте свое имя, контактную информацию и название компании (если применимо) в каждом отчете. Приоритет будет отдаваться зашифрованным отчетам — пожалуйста, приложите свой открытый ключ PGP вместе с отчетом.

Скачать ключ Coinomi PGP

Руководство по ответственному раскрытию

Мы будем расследовать законные отчеты и приложим все усилия для быстрого исправления любых подтвержденных уязвимостей. Чтобы стимулировать ответственное информирование, мы обязуемся не предпринимать против вас судебных действий и не обращаться в правоохранительные органы с просьбой провести расследование в отношении вас, если вы соблюдаете следующие принципы ответственного раскрытия информации:

1. Предоставьте подробную информацию об уязвимости, включая сведения, необходимые для воспроизведения и проверки уязвимости, а также подтверждение концепции (POC).
2. Предпримите добросовестные усилия для предотвращения нарушений конфиденциальности, уничтожения данных, прерывания или ухудшения качества наших услуг.
3. Не изменяйте и не получайте доступ к данным, которые вам не принадлежат.
4. Дайте нам разумный срок для исправления проблемы, прежде чем публиковать какую-либо информацию.
5. Мы принимаем отчеты только об услугах, предоставляемых исключительно Coinomi, а не сторонними компаниями.

Мы приложим все усилия, чтобы ответить на ваше сообщение в течение 1-2 рабочих дней.

Уведомления, которые не полностью соответствуют вышеуказанным рекомендациям, не будут иметь права на вознаграждение или какие-либо гарантии, описанные в них.

Приложения

Нас в первую очередь интересуют уязвимости, которые в конечном итоге позволят злоумышленникам скомпрометировать кошельки и/или криптоактивы из приложений Coinomi.

Следующие уязвимости находятся в области интереса:

1. Обход PIN-кода или биометрии, за исключением функциональных возможностей, предоставляемых нативно операционной системой
2. Обход подтверждения пользователем подписи транзакции
3. Утечки конфиденциальных данных через доступ к памяти, сетевой трафик, локальное хранилище устройства и т. д.
4. Атаки на цепочку зависимостей, также известные как атаки на цепочку поставок
5. Криптографические уязвимости, связанные с BIP-39/32/44 деривацией и эллиптическими кривыми

Следующие уязвимости не входят в область интереса:

1. Незашифрованные токены службы Firebase.

Веб-сайты

Нас интересуют критические уязвимости в нашей инфраструктуре, включая фронтенд и бэкенд.

Следующие уязвимости не входят в область интереса:

1. Наличие/отсутствие записей SPF/DMARC.
2. Отсутствие токенов CSRF.
3. Проблемы с кликджекингом и табнаббингом.
4. Отсутствие заголовков безопасности, которые не приводят непосредственно к уязвимости.
5. Отсутствие передовых практик (мы требуем доказательств уязвимости безопасности).
6. Отчеты от автоматизированных инструментов или сканирований.
7. Сообщения о незащищенных шифрах SSL/TLS (если у вас нет рабочего подтверждения концепции, а не просто отчета от сканера).
8. Отсутствие ограничения скорости.
9. Устаревшее программное обеспечение без каких-либо заметных уязвимостей.
10. Неработающие ссылки.
11. Уязвимости в сторонних сервисах, например, Zendesk, Twitter и т. д. (сообщайте непосредственно им).