ПРОГРАММА BUG BOUNTY

  1. 1. Общие положения

    Мы рады объявить о запуске нашей Программы Bug Bounty для определенного программного обеспечения, предоставляемого через www.askbtc.org.

    Для целей этой программы мы используем следующие определения:

    • Ошибка - это дефект, отказ или ошибка в компьютерной программе или системе, которая создает некорректный или неожиданный результат или ведет себя непреднамеренно.
    • Уязвимость - это слабость в компьютерной безопасности, внутренних элементах управления, дизайне или реализации, что позволяет злоумышленнику снизить уровень безопасности системы или использовать ее случайно или намеренно любым способом.
    • Exploit - это часть программного обеспечения, фрагмент данных или последовательность команд, в которых используется ошибка или уязвимость, чтобы вызвать непреднамеренное или непредвиденное поведение на компьютерном программном обеспечении и/или аппаратном обеспечении. Такое поведение часто включает в себя неограниченное получение контроля над компьютерной системой, разрешение эскалации привилегий или отказ в обслуживании (DoS или связанный с ним DDoS). Этот термин также включает советников-экспертов, которые разработаны на основе ошибок и уязвимостей.

    В соответствии с условиями программы мы предлагаем вознаграждение (денежное вознаграждение) за любые ошибки, уязвимости и эксплойты, связанные с безопасностью (далее коллективно - «Ошибки»), обнаруженные на веб-сайте www.askbtc.org; Служба регистрации аккаунта; API webREST; AskBtc и сопутствующее программное обеспечение; Поддержка AskBtc, включающая веб-сайт и сопутствующее программное обеспечение, другое программное обеспечение и связанные с ним услуги, которые образуют торговую систему AskBtc, именуемую «область отчетности».

  2. 2. Кто имеет право участвовать в программе Bug Bounty

    Вы имеете право участвовать в этой программе, если:

    • вам 14 лет. Если вам не менее 14 лет, но вы считаетесь несовершеннолетним по месту жительства, вы должны получить разрешение своего родителя или законного представителя до участия в этой Программе Bug Bounty
    • вы являетесь индивидуальным исследователем безопасности, используя свои собственные возможности
    • вы НЕ являетесь действующим сотрудником AskBtc или его дочерних компаний, деловых партнеров или ближайшей семьи (родителя, родственника, супруга или ребенка) такого сотрудника
  3. 3. Требования для квалификации ошибки за вознаграждение

    Чтобы квалифицировать отчет об ошибке, он должен соответствовать следующим условиям:

    • если ошибка в нашем программном обеспечении или в стороннем программном обеспечении, интегрированном в торговую систему AskBtc и попадает под список области отчетности
    • ошибка является релевантной для безопасности и может повлиять на распределение наших и/или клиентских фондов, на безопасность нашей системы, личную информацию или для любых данных
    • если ошибка нам неизвестна, и вы первый кто сообщит об этом. Если мы получим несколько отчетов об ошибках по одной и той же проблеме от разных сторон, вознаграждение будет предоставлено ​​по первому квалифицированному отчету об ошибках

    Мы можем отклонить любой отчет об ошибке, который по нашему собственному усмотрению не соответствует этим критериям.

  4. 4. Какие проблемы не могут претендовать на вознаграждение

    Эта программа посвящена выявлению значительных ошибок, которые оказывают прямое и очевидное влияние на работу и безопасность нашей системы и данные наших клиентов и/или могут привести к потере наших или клиентов средств и/или прибыли, незаконного обогащения любого человека. Мы не квалифицируем отчеты, влияющие на работу нашей системы, если клиент может решить проблему самостоятельно.

    Приветствуются отчеты об ошибках и уязвимостях в стороннем программном обеспечении и услугах за пределами области отчетов (операционные системы, библиотеки, браузеры, плагины, хост-сервисы, SDN, облачное программное обеспечение, службы, CRM, форумы и т. д.), но они не соответствуют общим положениям. Такие проблемы исследуются соответствующими поставщиками. Тем не менее, критические проблемы, влияющие на наше программное обеспечение, услуги, могут быть исследованы нами.

    Обратите внимание, что мы оставляем за собой право отклонить любое представление, которое мы определяем, по нашему собственному усмотрению, попадает в любую из этих категорий ошибок, даже если оно имеет право на получение вознаграждения.

  5. 5. Как отправить отчет об ошибке

    Любые отчеты об ошибках должны быть сделаны по электронной почте по адресу: bugreport@askbtc.org

    Весь отчет об ошибках должен быть составлен четким и всеобъемлющим образом и должен содержать по крайней мере следующее:

    • Логин клиента в AskBtc, если таковой имеется
    • Ссылка на область отчетности
    • Подробная информация об ошибке, о которой идет речь. Пожалуйста, используйте отдельные отчеты об ошибках, чтобы описать каждую ошибку, если ошибки не образуют четкую цепочку. Опишите уязвимость наших служб или инфраструктуры, которая угрожает безопасности или конфиденциальности. Включите краткие этапы воспроизводимости, которые легко понять
    • Описание ситуации, на которую ссылается ошибка, необходимо поддерживать скриншотами. Отчет об ошибках должен включать в себя все ссылки, которые были нажаты, посещаемая страница, URL-адреса и т. д. Изображения и видео должны сопровождаться письменным объяснением. Если вы прикрепляете видеофайл, его необходимо записать с разрешением, которое позволяет читать текст или URL-адрес
    • Описание сценария атаки, который может использовать ошибку. Мы считаем, что эта информация очень важна и оказывает наибольшее влияние на сумму вознаграждения

    Отчет об ошибке должен быть выполнен в вежливом порядке, не может содержать какой-либо неподходящий язык и/или другой непристойный контент и не может быть иным образом составлен таким образом, чтобы он был понятен AskBtc и его персоналом.

    Если во время расследования вы непреднамеренно допустили нарушение конфиденциальности (например, вы получили доступ к информации учетной записи пользователя AskBtc, конфигурациям сервисов или другой конфиденциальной информации), пожалуйста, укажите это в своем отчете об ошибке.

    Нет никаких ограничений на количество квалифицированных отчетов об ошибках, которые может предоставить и получить вознаграждение заявителем.

    Отправляя нам отчет об ошибке, вы соглашаетесь и признаете, что вы не будете раскрывать контент отчета об ошибках, включая действующий код эксплойта для применимой уязвимости, и не использовать его в своей собственной учетной записи.

    Если отчет об ошибках соответствует указанным выше требованиям, вы получите сообщение на электронную почту, в котором сообщается, что ваш отчет об ошибке был успешно получен нами.

  6. 6. Как исследуется ваш отчет об ошибках

    Наша исследовательская группа проверит все правильно представленные отчеты об ошибках и подтвердит их право на участие. AskBtc сохраняет за собой право на определение того, какой отчет об ошибках является квалифицированным. Время изучения может занять некоторое время. Обратите внимание, что, учитывая количество представленных отчетов об ошибках и его сложность и полноту, может потребоваться время для изучения вашего отчета об ошибке. Пожалуйста, воздержитесь от раскрытия содержимого вашего отчета об ошибке или публикации его на других ресурсах.

  7. 7. Количество вознаграждений

    Вознаграждение будет выплачиваться по собственному усмотрению AskBtc, исходя из качества и сложности сообщаемой ошибки.

    Минимальная сумма, выплачиваемая за квалифицированный отчет об ошибках, составляет 100 долларов США максимум до 10000 долларов США.

    Окончательная сумма всегда выбирается по усмотрению исследовательской группы и зависит от риска, связанного с ошибкой в ​​вопросе, его влиянием на соответствующую работе наших служб и других факторов. В частности, мы можем принять решение выплатить более высокие вознаграждения за особо критичные уязвимости; Решение выплатить более низкие вознаграждения за уязвимости, которые взаимодействуют с пользователем; Решение, что несколько отчетов настолько тесно связаны друг с другом, гарантирует только одну награду. Решения, принятые AskBtc, являются окончательными для вас.

    После того, как отчет об ошибках будет проверен нашей исследовательской группой, с вами могут связаться, чтобы вы могли предоставить необходимые документы для обработки вашего вознаграждения. После того как мы получим документы и подтверждение, что вы имеете право на получение платежа по этой программе, мы обработаем заявку на вознаграждение.

  8. 8. Запрещенная деятельность

    Вы не должны использовать ошибки ни для своего, ни для стороннего преимущества, ни для повреждения нашей торговой системы, программного обеспечения и т. д.

    Вы не должны раскрывать содержание своего отчета об ошибке или публиковать его на других ресурсах.

    Вы не должны нарушать закон или компрометировать любые данные, которые не являются вашими собственными, при тестировании ошибки или отправке отчета об ошибке.

    При расследовании ошибки вы должны ориентироваться только на собственные учетные записи. Никогда не пытайтесь получить доступ к чужой учетной записи или данным и не совершайте в какие-либо действия, которые могут быть неприемлемы или повреждающими для других пользователей AskBtc или самим AskBtc. При исследовании вы не должны пытаться выполнять следующие методы: DDoS-атаки, использование черных технологий SEO-шпионов, спам-людей, не пишите и не эксплуатируйте советников-экспертов, которые разработаны на основе ошибок. Мы также препятствуем использованию любых инструментов тестирования уязвимостей, которые автоматически генерируют очень значительные объемы трафика.

    Если наша команда выяснит, что вы совершили действие, указанное в этом пункте, вы не сможете получить награду. Если вы сообщаете об ошибке, используемой в ходе текущей или прошлой атаки, и у нас есть основания подозревать, что вы являетесь злоумышленником, мы оставляем за собой право не платить вознаграждение.

  9. 9. Освобождение от ответственности

    Мы не будем предпринимать никаких юридических действий, не возмещать и не защищать вас от любых и всех обязательств в отношении вашей деятельности с ошибками в нашей области отчетности, при условии, что вы и ваш отчет об ошибках должны оставаться в соответствии с условиями этой Программы.

  10. 10. Юридические вопросы

    Отправляя свой отчет об ошибке в AskBtc, вы тем самым:

    • предоставляете нам следующую неисключительную, безотзывную, бессрочную, бесплатную лицензию по всему миру, суб-лицензируемую лицензию на интеллектуальную собственность, которая может содержать ваш отчет об ошибке: (i) использовать, анализировать, оценивать, тестировать и анализировать отчет об ошибке; (ii) воспроизводить, изменять, распространять, показывать и публично публиковать, а также коммерциализировать и создавать производные работы вашего представления и весь его контент, полностью или частично, в связи с этой программой; (iii) предоставить ваше представление и весь его контент в связи с маркетингом, продажей или продвижением этой программы (включая внутренние и внешние продажи, презентации конференций, выставки и скриншоты представления в пресс-релизах) во все средства массовой информации (теперь известные или разработанные позднее)
    • даете согласия на подписание любой документации, которая может потребоваться для нас или наших назначенных лиц, чтобы удостовериться в правах, которые вы предоставили выше
    • понимаете и признаете, что AskBtc может разработать или запустить материалы, похожие или идентичные вашему представлению, и вы отказываетесь от любых претензий, которые могут возникнуть в результате каких-либо сходств с вашим представлением
    • признаете, что ваш отчет является вашей собственной работой и что вы не использовали информацию, принадлежащую другому лицу или юридическому лицу
    • Мы не можем выплатить вознаграждение лицам, проживающим в странах, попадающих под санкции Совета Безопасности Организации Объединенных Наций, или странам, которым поручена Целевая группа по финансовым мероприятиям («ФАТФ»), призывая своих членов и другие юрисдикции применять контрмеры для защиты международного Финансовой системы от текущих и значительных рисков отмывания денег и финансирования терроризма (ОД/ФТ), исходящих от юрисдикций.

      Вы несете ответственность за любые налоговые последствия в зависимости от страны проживания и гражданства. Могут быть дополнительные ограничения на вашу способность участвовать в нашей Программе Bug Bounty в зависимости от вашего местного законодательства.

      Если есть спор относительно того, кто является квалифицированным подателем, мы рассмотрим правомочного подателя заявки и сообщим владельцу учетной записи на адрес электронной почты, используемый для регистрации учетной записи в AskBtc.

      Мы оставляем за собой право опубликовать списки отчетов об ошибках и список экспертов, которые предоставили полезные отчеты об ошибках в системе безопасности. Вы можете уведомить нас, что хотите остаться анонимными для общественности, однако мы должны знать ваше юридическое имя и адрес, чтобы заплатить вам.

      Если ваш отчет об ошибках квалифицирован, но вам менее 14 лет или вы считаетесь несовершеннолетним на своем законном месте жительства, мы можем потребовать от вашего родителя или законных представителей подписать все необходимые формы от вашего имени. Если вы не заполните необходимые формы в соответствии с инструкциями или не пришлете необходимые формы в течение времени, указанного в уведомлении, мы не сможем выполнить платеж. Мы не можем обработать платеж, пока не получим полностью необходимую документацию.

  11. 11. Разное

    Мы можем отменить эту программу Bug Bounty в любое время, когда мы посчитаем необходимым по какой-либо причине.

    Убедитесь, что вы внимательно прочитали и поняли условия этой программы Bug Bounty, прежде чем отправлять нам отчет об ошибках. Отправляя нам отчет об ошибках, вы соглашаетесь с этими условиями. Если вы не хотите соглашаться с этими условиями, не отправляйте нам отчет об ошибках или иным образом не участвуйте в нашей Программе Bug Bounty.


    Спасибо за сотрудничество!