Программа Bug Bounty | 3Commas

В первую очередь, мы хотели бы поблагодарить вас за проявленный интерес к нашей программе вознаграждения за обнаружение ошибок платформы, это помогает нам развивать и делать ее еще безопаснее. Даже при огромных усилиях нашей профессиональной команды в поиске и исправлении ошибок, всегда остается шанс что-то упустить, что, в итоге, может стать критической уязвимостью.

Если вы обнаружите ошибку, мы будем рады сотрудничеству в изучении и сообщении нам о ней, чтобы мы могли устранить ее как можно скорее. За значительные ошибки или уязвимости мы предлагаем награду.

Ответственное изучение и оповещение

Изучение и оповещение включает, но не ограничивается, следующими принципами:

  • Недопустимо нарушение конфиденциальности данных пользователей, уничтожение данных, нарушение работы сервиса 3Commas.
  • Ориентируйтесь только на свои собственные учетные записи в процессе расследования ошибки. Не устанавливайте цели, не пытайтесь получить доступ или иным образом нарушить работу учетных записей других пользователей.
  • Не нацеливайтесь на наши физические меры безопасности и не пытайтесь использовать социальную инженерию, спам, распределенные атаки типа DDOS и т. д..
  • Первоначально сообщайте об ошибке только нам, а не кому-либо еще.
  • Предоставьте нам разумное количество времени, чтобы исправить ошибку, прежде чем раскрывать ее кому-либо еще. Также, просим предоставить нам адекватное письменное предупреждение, прежде чем раскрывать уязвимость кому-либо еще.
  • Не нужно заспамлять наши каналы связи, требуя вознаграждения после предоставления ошибки. Пожалуйста, подождите, пока мы свяжемся с вами.

Пожалуйста, используйте веские причины, чтобы добросовестно исследовать и сообщать об ошибках, не пытайтесь использовать эти ошибку в личных интересах или интересах третьих лиц, нарушая права наших пользователей или работоспособность сервиса. В противном случае, ваши действия могут быть истолкованы как враждебные, а не как попытка помочь

Принцип приемлемости

Любая ошибка, которая представляет значительную уязвимость для безопасности нашего сайта и пользователей, либо для целостности нашей платформы, может иметь право на вознаграждение.

Вознаграждение предоставляется исключительно по нашему усмотрению. Чтобы решить, является ли ошибка достаточно существенной, для получения вознаграждения, пожалуйста, не предполагайте заранее что любое время, которое вы потратите, пытаясь найти ошибки, будет вознаграждено.

Приемлемые проблемы безопасности:

  • Подделка межсайтовых запросов (CSRF).
  • Межсайтовые сценарии (XSS).
  • Инджект кода.
  • Удаленное Выполнение Кода.
  • Повышение привилегий.
  • Обхода Проверки Подлинности.
  • Кликджекинг.
  • Утечка конфиденциальных данных.

Неприемлемые

Вещи, которые не имеют права на вознаграждение, включают в себя:

  • Уязвимости на сайтах, размещенных третьими лицами (https://help.3commas.io, и т. д.) если только они не приводят к уязвимости на основном сервисе.
  • Уязвимости зависящие от физических атак, социальной инженерии, спама, DDOS-атак и т. д..
  • Уязвимости, влияющие на устаревшие или не обновленные браузеры.
  • Уязвимости в сторонних приложениях, использующих API платформы.
  • Ошибки, уже известные нам, или уже сообщенные кем-то другим (награда достается первому сообщившему).
  • Проблемы, которые невозможно воспроизвести.
  • Проблемы которые находятся вне наших полномочий.

Вознаграждение

  • Минимальная награда за обнаружение ошибки эквивалентна 100 USDT (ERC 20).
  • Размер вознаграждение устанавливается компетентными лицами нашего сервиса, в зависимости от серьезности найденной ошибки.
  • Допустимо только одно вознаграждение за ошибку.

Как сообщить о найденной ошибке

  • Отправьте отчет об ошибке на bugbounty@3commas.io.
  • Постарайтесь включить в свой отчет как можно больше информации, в том числе описание ошибки, ее потенциальное воздействие и шаги по ее воспроизведению или доказательству концепции. Видео эксплойтов будут очень полезны.
  • Укажите свой адрес электронного кошелька для вознаграждения (обработка транзакций может занимать до 30 дней).
  • После оповещения об обнаружении ошибки, с вами свяжутся в течении 5 рабочих дней.

Попробуйте 3Commas бесплатно

С полным доступом на 3 дня к максимальному тарифу
LIVE с торговли на биржах