Programa de recompensa de bugs centrado

Obtenha recompensas líderes do setor

Recompensa por Bug

A recompensa por insetos está fechada.

Recompensa por Bug

Embora nossa equipe tenha feito todos os esforços para livrar todos os bugs em nossos sistemas, há sempre a chance de que poderíamos ter perdido um representando uma vulnerabilidade significativa. Se você descobrir um bug, agradecemos seus esforços e ajudamos a reportá-lo para que possamos corrigi-lo o mais rápido possível. Para bugs significativos, oferecemos recompensas conforme descrito abaixo.

Investigação e Relatórios Responsáveis

A investigação responsável e o relatório incluem, mas não se limita a, o seguinte: 

  • Não viole a privacidade de outros usuários, destrua dados, interrompa nossos serviços, etc.
  • Só direja suas próprias contas no processo de investigação do bug. Não segmente, tente acessar ou interrompa as contas de outros usuários.
  • Não direja nossas medidas de segurança física, ou tente usar ataques de engenharia social, spam, negação distribuída de serviço (DDOS), etc.
  • Inicialmente informe o bug apenas para nós e não para mais ninguém.
  • Dê-nos uma quantidade razoável de tempo para corrigir o bug antes de divulgá-lo a qualquer outra pessoa, e nos dê um aviso por escrito adequado antes de divulgá-lo a qualquer outra pessoa.

Em geral, investigue e denuncie bugs de uma forma que faça um esforço razoável de boa fé para não ser disruptivo ou prejudicial para nós ou nossos usuários. Caso contrário, suas ações podem ser interpretadas como um ataque, em vez de um esforço para ser útil.

Elegibilidade

De um modo geral, qualquer bug que represente uma vulnerabilidade significativa, seja para a segurança do nosso site ou carteira, pode ser elegível para recompensa. Mas é inteiramente a nosso critério decidir se um bug é significativo o suficiente para ser elegível para uma recompensa.

Questões de segurança que normalmente seriam elegíveis (embora não necessariamente em todos os casos) incluem:

  • Falsificação de Solicitações entre Sites (CSRF)
  • Scripting cross-site (XSS)
  • Injeção de Código
  • Execução remota de código
  • Escalada de privilégios
  • Bypass de autenticação
  • Clickjacking
  • Vazamento de dados confidenciais

Inelegibilidade

Coisas que não são elegíveis para recompensa incluem:

  • Vulnerabilidades em sites hospedados por terceiros, a menos que levem a uma vulnerabilidade no site principal.
  • Vulnerabilidades e bugs no blog Centric.
  • Vulnerabilidades contingentes em ataque físico, engenharia social, spam, ataque DDOS, etc.
  • Vulnerabilidades que afetam navegadores desatualizados ou não.
  • Vulnerabilidades em aplicativos de terceiros que fazem uso da API da Centric.
  • Bugs que não foram investigados e relatados de forma responsável.
  • Bugs já conhecidos por nós, ou já relatados por outra pessoa (recompensa vai para primeiro repórter).
  • Questões que não são reprodutíveis.
  • Questões sobre as que não podemos razoavelmente esperar para fazer nada.

Recompensa

  • A recompensa mínima para bugs elegíveis é o equivalente a US$ 100 em Bitcoins.
  • Recompensas acima do mínimo estão a nosso critério, mas pagaremos significativamente mais por questões particularmente sérias.
  • Apenas uma recompensa por bug.

Como denunciar um bug

  • Envie seu relatório de bugs para bugbounty@centricfoundation.com
  • Tente incluir o máximo de informações em seu relatório que puder, incluindo uma descrição do bug, seu impacto potencial e etapas para reproduzi-lo ou prova de conceito
  • Inclua seu nome e a melhor maneira de entrar em contato caso a equipe de desenvolvimento precise pedir mais informações.
  • Inclua seu endereço BTC para pagamento.
  • Por favor, permita 2 dias úteis para respondermos antes de enviar outro e-mail.