Виберіть опцію:
Мова:

Відповідальне розкриття

Coinomi цінує роботу, яку виконують дослідники з безпеки, покращуючи безпеку наших продуктів і послуг. Ми прагнемо співпрацювати зі спільнотою для перевірки, відтворення та реагування на законно повідомлені вразливості. Ми заохочуємо спільноту брати участь у нашому процесі відповідального розкриття.

Якщо ви є дослідником з безпеки та бажаєте повідомити про вразливість, будь ласка, надішліть електронний лист на адресу: [email protected] Будь ласка, вкажіть своє ім’я, контактну інформацію та назву компанії (якщо застосовно) у кожному звіті. Пріоритет буде надано зашифрованим звітам — будь ласка, додайте свій відкритий ключ PGP разом зі звітом.

Завантажити ключ Coinomi PGP

Правила відповідального розкриття

Ми розслідуємо законні повідомлення та докладемо всіх зусиль, щоб швидко виправити будь-яку підтверджену вразливість. Щоб заохотити відповідальне звітування, ми зобов’язуємося не вживати проти вас жодних судових заходів і не просити правоохоронні органи розслідувати вас, якщо ви дотримуєтесь таких правил відповідального розкриття:

  1. Надайте деталі вразливості, включно з інформацією, необхідною для відтворення та підтвердження вразливості, та демонстрацією концепції (POC).
  2. Добросовісно намагайтеся уникати порушень конфіденційності, знищення даних та переривання або погіршення наших послуг.
  3. Не змінюйте та не отримуйте доступ до даних, які вам не належать.
  4. Дайте нам достатньо часу для виправлення проблеми, перш ніж оприлюднювати будь-яку інформацію.
  5. Ми приймаємо звіти лише про послуги, які надаються виключно Coinomi, а не будь-якою третьою стороною.

Ми докладемо всіх зусиль, щоб відповісти на ваше повідомлення протягом 1-2 робочих днів.

Повідомлення, які не повністю відповідають вищезазначеним правилам, не матимуть права на винагороду чи будь-які інші гарантії, що обговорюються в них.

Застосунки

Нас насамперед цікавлять вразливості, які потенційно дозволять зловмисникам скомпрометувати гаманці та/або криптоактиви з додатків Coinomi.

Ці вразливості входять до сфери дії:

  1. Обхід PIN-коду або біометрії, за винятком функцій, що надаються операційною системою
  2. Обхід підтвердження користувача для підписання транзакції
  3. Витоки конфіденційних даних через доступ до пам’яті, мережевий трафік, локальне сховище пристрою тощо.
  4. Атаки на дерево залежностей, інакше відомі як атаки на ланцюг поставок
  5. Вразливості криптографії, пов’язані з деривацією BIP-39/32/44 та еліптичними кривими

Ці вразливості не входять до сфери дії:

  1. Незашифровані токени служби Firebase.
Веб-сайти

Нас цікавлять критичні вразливості в нашій інфраструктурі, включно з інтерфейсом і бекендом.

Ці вразливості не входять до сфери дії:

  1. Наявність/відсутність записів SPF/DMARC.
  2. Відсутність токенів CSRF.
  3. Проблеми з клікджекінгом та tabnagging.
  4. Відсутність заголовків безпеки, які не призводять безпосередньо до вразливості.
  5. Відсутність найкращих практик (нам потрібні докази вразливості безпеки).
  6. Звіти від автоматизованих інструментів або сканувань.
  7. Звіти про незахищені шифри SSL/TLS (якщо ви не маєте робочої демонстрації концепції, а не просто звіт від сканера).
  8. Відсутність обмеження швидкості.
  9. Застаріле програмне забезпечення без будь-яких помітних вразливостей.
  10. Непрацюючі посилання.
  11. Вразливості в послугах третіх сторін, тобто Zendesk, Twitter тощо (звертайтеся безпосередньо до них)