Bir seçenek seçin:
Dil:

Sorumlu Açıklama

Coinomi, ürünlerimizin ve hizmet tekliflerimizin güvenliğini artırmada güvenlik araştırmacılarının yaptığı çalışmalara değer vermektedir. Toplulukla birlikte çalışarak, meşru olarak bildirilen güvenlik açıklarını doğrulamaya, yeniden üretmeye ve yanıt vermeye kararlıyız. Topluluğu, sorumlu açıklama sürecimize katılmaya teşvik ediyoruz.

Eğer bir güvenlik araştırmacısıysanız ve bir güvenlik açığı bildirmek istiyorsanız, lütfen şu adrese bir e-posta gönderin: [email protected] Lütfen her raporla birlikte adınızı, iletişim bilgilerinizi ve şirket adınızı (varsa) belirtin. Şifrelenmiş raporlara öncelik verilecektir — lütfen raporla birlikte PGP genel anahtarınızı ekleyin.

Coinomi PGP anahtarını indir

Sorumlu Açıklama Yönergeleri

Meşru raporları inceleyecek ve doğrulanmış herhangi bir güvenlik açığını hızla düzeltmek için her türlü çabayı göstereceğiz. Sorumlu raporlamayı teşvik etmek için, aşağıdaki Sorumlu Açıklama yönergelerine uymanız halinde size karşı yasal işlem başlatmayacağımızı veya sizi soruşturması için kolluk kuvvetlerine başvurmayacağımızı taahhüt ediyoruz:

  1. Güvenlik açığını yeniden üretmek ve doğrulamak için gereken bilgiler ve bir Kavram Kanıtı (POC) dahil olmak üzere, güvenlik açığına ilişkin ayrıntıları sağlayın.
  2. Gizlilik ihlallerinden, veri imhasından ve hizmetlerimizin kesintiye uğramasından veya bozulmasından kaçınmak için iyi niyetli bir çaba gösterin.
  3. Size ait olmayan verileri değiştirmeyin veya erişmeyin.
  4. Herhangi bir bilgiyi kamuoyuna açıklamadan önce sorunu düzeltmemiz için bize makul bir süre tanıyın.
  5. Yalnızca Coinomi tarafından münhasıran sağlanan hizmetler için raporları kabul ediyoruz ve herhangi bir üçüncü tarafça sağlananlar için değil.

Bildiriminize 1-2 iş günü içinde yanıt vermek için her türlü çabayı göstereceğiz.

Yukarıdaki yönergelere tam olarak uymayan açıklamalar, ödüller veya burada tartışılan herhangi bir güvence için uygun olmayacaktır.

Uygulamalar

Öncelikle, saldırganların Coinomi uygulamalarından cüzdanları ve/veya kripto varlıklarını ele geçirmesine olanak sağlayacak güvenlik açıklarına ilgi duyuyoruz.

Bu güvenlik açıkları kapsam dahilindedir:

  1. İşletim sistemi tarafından yerel olarak sağlanan işlevsellik hariç olmak üzere, PIN veya biyometriğin atlanması
  2. Bir işlemi imzalamak için kullanıcı onayının atlanması
  3. Bellek erişimi, ağ trafiği, yerel cihaz depolama alanı vb. aracılığıyla hassas veri sızıntıları
  4. Bağımlılık ağacı, diğer adıyla tedarik zinciri saldırıları
  5. BIP-39/32/44 türetme ve eliptik eğrilerle ilgili kriptografi güvenlik açıkları

Bu güvenlik açıkları kapsam dışındadır:

  1. Şifrelenmemiş Firebase hizmet belirteçleri.
Web Siteleri

Ön ve arka uç dahil olmak üzere altyapımızdaki kritik güvenlik açıklarına ilgi duyuyoruz.

Bu güvenlik açıkları kapsam dışındadır:

  1. SPF/DMARC kayıtlarının varlığı/yokluğu.
  2. CSRF belirteçlerinin eksikliği.
  3. Clickjacking ve tabnagging sorunları.
  4. Doğrudan bir güvenlik açığına yol açmayan eksik güvenlik başlıkları.
  5. Eksik en iyi uygulamalar (bir güvenlik açığına dair kanıt talep ediyoruz).
  6. Otomatik araçlardan veya taramalardan gelen raporlar.
  7. Güvensiz SSL/TLS şifrelemelerinin raporları (yalnızca bir tarayıcıdan gelen bir rapor değil, çalışan bir kavram kanıtına sahip olmadığınız sürece).
  8. Hız sınırlamasının olmaması.
  9. Dikkate değer bir güvenlik açığı olmadan güncel olmayan yazılımlar.
  10. Kırık bağlantılar.
  11. Üçüncü tarafların hizmetlerindeki güvenlik açıkları, örneğin Zendesk, Twitter vb. (doğrudan onlara bildirin)