责任披露

Coinomi 重视安全研究人员在提升我们的产品和服务安全性方面所做的工作。我们致力于与社区合作，验证、重现和响应已报告的合法漏洞。我们鼓励社区参与到我们的责任披露流程中。

如果您是一名安全研究人员，并希望报告漏洞，请发送电子邮件至： [email protected] 请在每份报告中提供您的姓名、联系信息以及公司名称（如果适用）。加密报告将优先处理——请在报告中附上您的 PGP 公钥。

下载 Coinomi PGP 密钥

责任披露指南

我们将调查合法的报告，并尽一切努力快速纠正任何已确认的漏洞。为了鼓励负责任的报告，我们承诺，如果您遵守以下责任披露指南，我们将不会对您采取法律行动或要求执法部门对您进行调查：

1. 提供漏洞的详细信息，包括重现和验证漏洞所需的信息以及概念验证 (POC)。
2. 做出真诚的努力，避免侵犯隐私、破坏数据以及中断或降低我们的服务质量。
3. 不要修改或访问不属于您的数据。
4. 在公开任何信息之前，请给我们合理的纠正问题的时间。
5. 我们只接受完全由 Coinomi 提供的服务的报告，而不接受任何第三方的服务报告。

我们将尽一切努力在 1-2 个工作日内回复您的披露。

不完全符合上述指南的披露将没有资格获得奖励或其中讨论的任何保证。

应用程序

我们主要关注最终可能导致攻击者危及 Coinomi 应用程序中的钱包和/或加密资产的漏洞。

以下漏洞属于范围之内：

1. 绕过 PIN 码或生物识别，不包括操作系统本身提供的原生功能
2. 绕过用户确认以签署交易
3. 通过内存访问、网络流量、本地设备存储等泄漏敏感数据
4. 依赖关系树，又名供应链攻击
5. 与 BIP-39/32/44 推导和椭圆曲线相关的密码学漏洞

以下漏洞不在范围之内：

1. 未加密的 Firebase 服务令牌。

网站

我们对包括前端和后端在内的基础设施中的严重漏洞感兴趣。

以下漏洞不在范围之内：

1. 存在/不存在 SPF/DMARC 记录。
2. 缺少 CSRF 令牌。
3. 点击劫持和标签页劫持问题。
4. 缺少不会直接导致漏洞的安全标头。
5. 缺少最佳实践（我们需要安全漏洞的证据）。
6. 来自自动化工具或扫描的报告。
7. 不安全的 SSL/TLS 密码的报告（除非您有可行的概念验证，而不仅仅是来自扫描仪的报告）。
8. 缺乏速率限制。
9. 没有任何值得注意的漏洞的过时软件。
10. 损坏的链接。
11. 第三方服务中的漏洞，例如 Zendesk、Twitter 等。（直接向他们报告）