Программа Centric Bug Bounty

Получить ведущие награды в отрасли

Ошибка Баунти

Награда за ошибку в настоящее время закрыта.

Ошибка Баунти

Хотя наша команда приложила все усилия, чтобы избавиться от всех ошибок в наших системах, всегда есть шанс, что мы, возможно, упустили один, представляющий значительную уязвимость. Если вы обнаружите ошибку, мы ценим ваши усилия и помогаем сообщить о ней нам, чтобы мы могли исправить ее как можно скорее. За значительные ошибки мы предлагаем вознаграждение, как указано ниже.

Ответственное расследование и отчетность

Ответственное расследование и отчетность включают в себя, но не ограничивается, следующее: 

  • Не нарушайте конфиденциальность других пользователей, уничтожайте данные, нарушайте работу наших сервисов и т.д.
  • Только целевой свои собственные счета в процессе расследования ошибки. Не нацеймите, не пытайтесь получить доступ или иным образом нарушить учетные записи других пользователей.
  • Не нацеймите наши физические меры безопасности, или не пытайтесь использовать социальную инженерию, спам, распределенные атаки отказа в обслуживании (DDOS) и т.д.
  • Первоначально сообщите об ошибке только нам, а не кому-либо еще.
  • Дайте нам разумное количество времени, чтобы исправить ошибку, прежде чем раскрыть его кому-либо еще, и дать нам адекватное письменное предупреждение, прежде чем раскрывать его кому-либо еще.

В общем, пожалуйста, исследовать и сообщать об ошибках таким образом, что делает разумные, добросовестное усилие, чтобы не быть разрушительным или вредным для нас или наших пользователей. В противном случае ваши действия могут быть истолкованы как атака, а не как попытка быть полезным.

Право

Вообще говоря, любая ошибка, которая представляет собой значительную уязвимость, либо для безопасности нашего сайта или кошелька, может иметь право на вознаграждение. Но это полностью на наш усмотрение, чтобы решить, является ли ошибка является достаточно значительным, чтобы иметь право на вознаграждение.

Вопросы безопасности, которые обычно имеют право (хотя и не обязательно во всех случаях), включают:

  • Подделка запросов на кросс-сайт (CSRF)
  • Кросс-сайт Сценариев (XSS)
  • Инъекция кода
  • Удаленное исполнение кода
  • Привилегия эскалации
  • Обход аутентификации
  • Clickjacking
  • Утечка конфиденциальных данных

Дисквалификации

Вещи, которые не имеют права на вознаграждение включают в себя:

  • Уязвимости на сайтах, размещенных третьими лицами, если они не приводят к уязвимости на главном веб-сайте.
  • Уязвимости и ошибки в блоге Centric.
  • Уязвимости зависят от физического нападения, социальной инженерии, спама, DDOS атаки и т.д.
  • Уязвимости, затрагивающие устаревшие или неисправленные браузеры.
  • Уязвимости в сторонних приложениях, использующих API Centric.
  • Ошибки, которые не были ответственно расследованы и сообщили.
  • Ошибки уже известны нам, или уже сообщили кто-то другой (вознаграждение идет к первому репортеру).
  • Проблемы, которые не воспроизводятся.
  • Вопросы, которые мы не можем разумно ожидать, чтобы сделать что-нибудь о.

Награда

  • Минимальная награда за подходящие ошибки эквивалентна $100 USD в биткоинах.
  • Вознаграждение сверх минимума по нашему усмотрению, но мы будем платить значительно больше за особо серьезные вопросы.
  • Только одна награда за ошибку.

Как сообщить об ошибке

  • Отправьте сообщение об ошибке bugbounty@centricfoundation.com
  • Попробуйте включить как можно больше информации в свой отчет, включая описание ошибки, ее потенциальное воздействие и шаги по ее воспроизведению или доказательство концепции
  • Включите свое имя и лучший способ войти в контакт, если команда разработчиков должна запросить дополнительную информацию.
  • Включите свой адрес BTC для оплаты.
  • Пожалуйста, позвольте 2 рабочих дня для нас, чтобы ответить перед отправкой другого письма.