Введение
Программа ViaBTC Security Bounty направлена на то, чтобы предоставлять пользователям безопасную, стабильную и эффективную платформу для майнинга. Эта программа делит потенциальные уязвимости на три уровня (от L1 до L3) в зависимости от рисков. Чтобы привлечь внимание пользователей и, так называемых "белых шляп" (белых хакеров), к поиску уязвимостей в ViaBTC предусмотрено вознаграждение до 10,000 USDT.
Основные принципы
1. ViaBTC придает большое значение безопасности своих продуктов и гарантирует отслеживание, анализ и обработку каждого сообщения об обнаружении уязвимости на платформе;
2. Для обеспечения эффективного и оперативного устранения уязвимости ViaBTC может запросить помощь лица, обнаружившего потенциальную угрозу;
3. ViaBTC подчеркивает важность ответственного подхода к поиску уязвимостей и применению мер по их устранению и гарантирует вознаграждение каждому пользователю, который окажет содействие ViaBTC по повышению безопасности и защите интересов пользователей платформы;
4. ViaBTC выступает против и осуждает все хакерские действия, которые используют тестирование уязвимостей для нанесения ущерба интересам пользователей, включая использование уязвимостей для нарушения конфиденциальности пользователей, кражи цифровых активов и данных пользователей, вторжение в бизнес-системы, а также умышленное создание новых уязвимостей в системе безопасности;
5. ViaBTC выступает против и осуждает все акты использования уязвимостей в системе безопасности для запугивания пользователей и атак на конкурентов.
6. ViaBTC оставляет за собой право окончательной интерпретации программы Security Bounty.
Вознаграждения и критерии оценки
Уровень | Вознаграждение |
L1 | 200-1,000 USDT |
L2 | 1,500-4,000 USDT |
L3 | 5,000-10,000 USDT |
Уровень L1
Определение: уязвимости этого уровня могут представлять ограниченную опасность или потенциальный риск безопасности.
Категории:
(1) Проблемы при использовании интерфейса проверочного кода и подстановки учетных данных и т. п.;
(2) CSRF-атаки, подделка электронной почты SPF и другие уязвимости с невысоким уровнем риска;
(3) Уязвимости, влияющие на доступ к системе и ее стабильность, приводящие к перебоям в работе системы.
Уровень L2
Определение: уязвимости этого уровня ставят под угрозу конфиденциальную информацию или безопасность активов и могут привести к их потере.
Категории:
(1) Уязвимости, связанные с XSS и CSRF атаками, которые затрагивают пользователей, приводя к утечке их учетных данных и совершению операций без их ведома;
(2) Уязвимости в логике проверки, сбросе пароля и т. д., которые могут быть использованы для доступа к учетным записям пользователей;
(3) Уязвимости в дизайне продукта, которые ставят под угрозу безопасность данных пользователей и их активов.
Уровень L3
Определение: уязвимости такого уровня могут привести к серьезным последствиям, таким как потеря активов или массовая утечка конфиденциальной информации.
Категории:
(1) Уязвимости, которые наносят ущерб безопасности активов пользователей или собственности компании, такие как утечка секретного ключа кошелька, уязвимости при депозите средств и т. д.;
(2) Уязвимости высокого риска, такие как внедрение SQL, удаленное совершение операций и т. д., которые предоставляют несанкционированный доступу к системе третьим лицам;
(3) Несанкционированный доступ к конфиденциальной информации, такой как учетные записи пользователей, и незаконный доступ к конфиденциальным данным, хранящимся на серверах системы и т.д.
Процесс принятия участия в программе Security Bounty
1. Отправка отчета об обнаруженной уязвимости
Пользователи могут отправить отчет по адресу support@viabtc.cm, либо заполнить соответствующую форму здесь.
Примечание: отчет должен быть максимально подробным, включать текст, URL-адрес, скриншоты и любые другие необходимые документы и материалы.
2. Оценка и проверка обнаруженной уязвимости
(1) В течение трех рабочих дней ViaBTC рассмотрит отчет и примет соответствующие меры.
(2) В течение семи рабочих дней ViaBTC даст заключение и определит уровень уязвимости. При необходимости, ViaBTC может отправить заявку о содействии в устранении найденной уязвимости.
3. Устранение уязвимости
(1) Технический отдел ViaBTC устранит обнаруженную проблему в безопасности системы и выпустит обновление. Время устранения проблемы зависит от ее серьезности и технической сложности.
(2) Пользователь, отправивший отчет, может проверить, была ли проблема устранена.
4. Заключительный этап
После завершения работ по устранению проблем в безопасности системы, пользователю, обнаружившему уязвимость, будет выплачено вознаграждение в соответствии с критериями оценки уязвимостей.
Часто задаваемые вопросы (FAQ)
Вопрос: Раскрывает ли ViaBTC информацию, связанную с отчетом об уязвимости?
Ответ: В целях защиты интересов и конфиденциальности пользователей ViaBTC не размещает отчет и информацию об уязвимости в публичном доступе.
Вопрос: Является ли данная программа маскировкой для сокрытия проблем безопасности?
Ответ: Нет, не является. Прежде всего ViaBTC считает, что соответствующая информация не должна разглашаться в целях защиты интересов пользователей и соблюдения
конфиденциальности, что также является обычной практикой в отрасли. Во-вторых, награды предназначены для выражения благодарности и уважения пользователям, обнаружившим уязвимости, а не для сокрытия проблем безопасности.
Вопрос: Будет ли ViaBTC “игнорировать” уязвимость, а затем тайно исправлять ее?
Ответ: Ни в коем случае. Если сообщение об уязвимости “игнорируется”, наши сотрудники объяснят причину в отзыве об отчете. Обычно это происходит потому, что "уязвимость" не считается уязвимостью, а оценивается как ошибка. ViaBTC ни в коем случае не будет тайно исправлять уязвимость.
Комментарии
0 комментариев
Статья закрыта для комментариев.