Dasar Bug Bounty

Paxful, Inc. (juga dirujuk sebagai “Paxful,” “kami” atau “kita”) mengambil langkah-langkah untuk menambah baik produk kami dan menyediakan penyelesaian yang selamat untuk pelanggan kami. Dalam dasar Bug Bounty ini ("Dasar"), kami menghuraikan kes yang berkenaan untuk Program Bug Bounty kami dan bagaimana ia harus digunakan berhubung dengan penggunaan laman web kami oleh anda di https://paxful.com/, termasuk, tetapi tidak terhad kepada, Dompet Paxful, platform perdagangan Bitcoin dalam talian, aplikasi mudah alih, halaman media sosial atau harta dalam talian lain (secara kolektif, "Laman Web"), atau apabila anda menggunakan mana-mana produk, perkhidmatan, kandungan, ciri, teknologi atau fungsi yang kami tawarkan (secara kolektif, "Perkhidmatan"). Dasar ini direka untuk membantu anda memperoleh maklumat tentang bagaimana anda dapat menyertai Program Bug Bounty kami, keputusan kajian selamat yang berkenaan, dan faedah yang akan anda terima. Ambil perhatian bahawa tawaran Perkhidmatan kami berbeza mengikut kawasan.

Untuk semua tujuan, versi bahasa Inggeris bagi dasar bug bounty ini akan menjadi yang asal, memerintah instrumen. Dalam acara bagi sebarang konflik antara versi bahasa Inggeris bagi dasar bug bounty dan mana-mana terjemahan selepas ini ke dalam sebarang bahasa lain, versi bahasa Inggeris akan memerintah dan mengawal.

Apakah itu Program Bug Bounty?

Untuk meningkatkan Paxful dan Perkhidmatan, Program Bug Bounty memberikan peluang untuk memperoleh ganjaran kepada pengguna untuk mengenal pasti isu teknikal.

Bagaimanakah anda boleh berkomunikasi tentang penemuan Program Bug Bounty anda kepada kami?

Semua komunikasi harus diajukan kepada [email protected]. Dalam penyerahan anda sila nyatakan penerangan penuh kelemahan dan bukti yang boleh disahkan tentang kewujudan kelemahan ini (penerangan / langkah untuk hasilkan semula / petikan skrin / video / skrip dan bahan-bahan lain yang serupa).

Peraturan-peraturan Program

Pelanggaran mana-mana peraturan ini boleh menyebabkan pembatalan kelayakan untuk ganjaran.

  • Uji kelemahan hanya ke atas akaun yang anda miliki atau akaun yang anda telah mendapatkan keizinan pemegang akaun untuk menjalankan ujian ke atasnya.
  • Jangan sesekali menggunakan dapatan untuk membahayakan/mengasingkan data atau pivot ke sistem lain. Gunakan bukti konsep hanya untuk membuktikan masalah.
  • Sekiranya maklumat sensitif misalnya maklumat peribadi, kelayakan dsb. diakses sebagai sebahagian daripada kelemahan tersebut, ia tidak boleh disimpan, distoran, dipindahkan, diakses atau dengan cara lain diproses selepas penemuan pertama.
  • Penyelidik tidak boleh, dan tidak dibenarkan untuk terlibat dalam sebarang aktiviti yang boleh mengganggu, merosakkan atau memudaratkan Paxful.
  • Penyelidik tidak boleh mendedahkan kelemahan kepada umum (berkongsi sebarang butiran dengan sesiapa selain pekerja Paxful yang diberi kuasa), atau dengan cara lain berkongsi kelemahan dengan pihak ketiga, tanpa kebenaran tersurat Paxful.

Bagaimanakah kami menilai isu yang dikenal pasti di bawah Program Bug Bounty?

Semua penemuan dinilai menggunakan pendekatan berdasarkan risiko.

Perjanjian Tak Dedah

Sebelum kita mula membincangkan sebarang butiran yang berkaitan untuk mengesahkan isu yang telah anda kenal pasti di bawah Program Bug Bounty, termasuk pampasan, dsb., anda diminta untuk masuk ke dalam Perjanjian Tak Dedah bersama kami.

Bagaimanakah kami membayar ganjaran Program Bug Bounty?

Semua ganjaran seperti itu dibayar oleh Paxful. Semua ganjaran boleh dibayar hanya jika ia bukan kebalikan kepada undang-undang dan peraturan yang terpakai, termasuk tetapi tidak terhad kepada isbat perdagangan dan sekatan ekonomi.

Berapa lamakah kami akan mengambil masa untuk menganalisa penemuan Program Bug Bounty?

Disebabkan sifat isu teknikal yang berbeza dan rumit, kami tidak mewujudkan garis masa yang tertentu untuk menganalisa penemuan di bawah Program Bug Bounty. Analisa kami hanya akan selesai setelah kami mengesahkan kewujudan atau ketakhadiran kerentanan.

Apakah kes yang tidak dimasukkan daripada Program Bug Bounty?

Kelemahan tertentu dianggap luar-skop untuk Program Bug Bounty. Kelemahan luar-skop ini termasuk, tetapi tidak terhad kepada:

  • Spam;
  • Kelemahan yang memerlukan kejuruteraan/phishing sosial;
  • Serangan DDOS;
  • Masalah hipotesis yang tidak mempunyai sebarang kesan yang praktikal;
  • Keselamatan mudah diserang dalam aplikasi pihak ketiga dan pada laman web pihak ketiga dengan Paxful;
  • Output pengimbas atau laporan dijana pengimbas;
  • Isu yang ditemui melalui ujian berautomatik;
  • Pepijat yang dilepaskan kepada umum dalam perisian Internet dalam masa 30 hari daripada pendedahannya;
  • Serangan "Man-in-the-Middle" (orang tengah);
  • 'Host header injection' tanpa kesan spesifik yang dapat ditunjukkan;
  • Self-XXS, yang merangkumi sebarang muat beban yang dimasukkan oleh mangsa;
  • Log masuk / Log keluar CSRF;

Maklumat Lanjut

Jika anda mencari maklumat lanjut mengenai Dasar ini, anda boleh menghubungi kami dengan menghantar e-mel ke [email protected].