Bug bounty-retningslinjer

Paxful, Inc. (også referert til som «Paxful», «vi», «oss» eller «vår») tar skritt for å forbedre produktet vårt og tilby sikre løsninger for våre kunder. I disse bug bounty-retningslinjene («retningslinjene») beskriver vi gjeldende saker for vårt bug bounty-program og hvordan det skal brukes i forbindelse med din bruk av nettstedet vårt https://paxful.com/, inkludert, men ikke begrenset til Paxful-lommeboken, bitcoin-handelsplattformen på nett, mobilapplikasjonen, sosiale mediesider, eller andre eiendeler på nett (kollektivt, «Nettstedet»), eller når du bruker noen av produktene, tjenestene, innholdet, teknologier eller funksjoner vi tilbyr (samlet kalt «Tjenestene»). Disse retningslinjene er utformet for å hjelpe deg med å få informasjon om hvordan du kan delta i vårt bug bounty-program, som sikrer at forskningsresultater er anvendbare og hvilke fordeler du kan motta. Vær oppmerksom på at våre tjenestetilbud kan variere fra region til region.

Der Paxful har gitt deg en oversettelse av den engelske versjonen av disse retningslinjene, samtykker du i at oversettelsen bare er gitt for enkelhets skyld, og at de engelskspråklige versjonene av retningslinjene er gjeldende i ditt forhold til Paxful. Hvis det er noen motsetning mellom hva den engelskspråklige versjonen av policyen sier og hva en oversettelse sier, er den engelskspråklige versjonen gjeldende.

Hva går bug bounty-programmet ut på?

For å forbedre Paxful og dets tjenester, gir Paxfuls bug bounty-program brukerne våre muligheten til å tjene belønninger for å identifisere tekniske feil:

Hvordan kan man formidle funn fra bug bounty-programmet til Paxful?

All slik kommunikasjon bør rettes til [email protected]. Vennligst inkluder en full beskrivelse av sårbarheten og verifiserbart bevis på at sårbarheten finnes (forklaringer / trinn for å gjenprodusere / skjermbilder/videoer/skript eller andre liknende materialer) i innsendelsen.

Programregler

Brudd på noen av disse reglene kan resultere i at man diskvalifiseres for en bounty.

  • Test bare sårbarheter mot en konto som du eier eller kontoer som du har samtykke fra kontoholderen til å teste mot.
  • Bruk aldri funn til å kompromittere/eksfiltrere data eller dreie om til andre systemer. Bruk kun bevis av konsept for å demonstrere et problem.
  • Dersom du får tilgang til sensitiv informasjon som personlige opplysninger, akkreditiver osv. som en del av en sårbarhet, må den ikke lagres, overføres, gies tilgang til eller på annen måte behandles etter at det blir oppdaget.
  • Forskere kan ikke, og har ikke autoritet til å delta i aktivitet som kan være forstyrrende eller skadelig for Paxful.
  • Forskere kan ikke offentliggjøre sårbarheter (dele noen detaljer overhodet med noen andre enn autoriserte Paxful-ansatte), eller på annen måte dele sårbarheter med en tredjepart uten Paxfuls uttrykkelige tillatelse.

Hvordan evaluerer vi problemer som identifiseres under bug bounty-programmet?

Alle funn evalueres ved å bruke en risikobasert tilnærming.

Taushetserklæring

Før vi begynner å diskutere opplysninger knyttet til bekreftede problemer som du har identifisert i bug bounty-programmet, inkludert kompensasjon osv., kreves det at du inngår en taushetserklæring med oss.

Hvordan utbetaler vi belønninger for bug bounty-programmet?

Alle slike belønninger utbetales av Paxful. Alle belønninger kan kun utbetales dersom de ikke strider mot gjeldende lover og reguleringer, inkludert men ikke begrenset til handelssanksjoner og økonomiske begrensninger.

Hvor lang tid bruker vi på å analysere funn fra bug bounty-programmet?

Grunnet tekniske problemers varierende og komplekse natur, har vi ikke etablert en bestemt tidslinje for analysefunnene i bug bounty-programmet. Analysene våre er kun ferdige når vi har bekreftet eksistensen eller fraværet av en sårbarhet.

Hvilke tilfeller er ekskludert fra bug bounty-programmet?

Visse sårbarheter betraktes som utenfor bruksområdet for bug bounty-programmet. Disse sårbarhetene inkluderer, men er ikke begrenset til:

  • Spam;
  • Sårbarheter som krever sosial ingeniørkunst/ phishing;
  • DDOS-angrep;
  • Hypotetiske problemer som ikke har en praktisk påvirkning;
  • Sikkerhetssårbarheter i tredjeparts applikasjoner og nettsteder som er integrert med Paxful;
  • Skannerutgang eller skannergenererte rapporter;
  • Problemer som blir funnet gjennom automatisert testing;
  • Offentlig kunngjorte programfeil i internettprogramvare 30 dager innen de avsløres;
  • «Man-in-the-middle»-angrep;
  • Host header injeksjoner uten en spesifikk, demonstrerbar påvirkning;
  • Self-XSS som inkluderer eventuell nyttelast som offeret har tastet inn;
  • Innloggings-/utloggings-CSRF;

Mer informasjon

Hvis du vil ha mer informasjon om disse retningslinjene, kan du kontakte oss ved å sende en e-post til [email protected].