Echobit rất coi trọng tính bảo mật của nền tảng và sự an toàn tài sản của người dùng. Để liên tục nâng cao tư thế bảo mật, chúng tôi đã thiết lập Chương trình Thưởng Tìm Lỗi Echobit. Chúng tôi hoan nghênh các nhà nghiên cứu bảo mật và các hacker mũ trắng báo cáo các lỗ hổng tiềm ẩn. Phần thưởng sẽ được trao dựa trên mức độ nghiêm trọng và tác động của vấn đề được báo cáo.
Trong phạm vi (Các lỗ hổng đủ điều kiện)
Các báo cáo có thể đủ điều kiện nhận thưởng nếu chúng liên quan đến các lỗ hổng có thể dẫn đến rủi ro bảo mật đáng kể, bao gồm nhưng không giới hạn ở:
- Các lỗ hổng có thể dẫn đến mất tài sản của người dùng
-
Vượt qua xác thực hoặc ủy quyền, chẳng hạn như:
leo thang đặc quyền / truy cập trái phép
chiếm đoạt phiên
-
Các lỗ hổng phía máy chủ có rủi ro cao, chẳng hạn như:
Thực thi mã từ xa (RCE)
Tấn công SQL Injection (SQLi)
- Lộ thông tin nhạy cảm
- Các lỗ hổng logic nghiệp vụ ảnh hưởng đến bảo mật nền tảng, tiền của người dùng hoặc quy trình làm việc quan trọng
Ngoài phạm vi (Không đủ điều kiện)
Những trường hợp sau đây không đủ điều kiện theo chương trình này:
-
Các cuộc tấn công dựa vào hành động không hợp lý của người dùng hoặc lừa dối người dùng, bao gồm:
kỹ thuật xã hội
lừa đảo
- Các cuộc tấn công DDoS hoặc kiểm tra tải/áp lực trên môi trường sản xuất
- Các vấn đề đã được công khai hoặc trùng lặp với các báo cáo đã gửi trước đó
-
Các lỗ hổng liên quan đến các dịch vụ hoặc tài sản của bên thứ ba không liên quan đến nền tảng Echobit
Phần thưởng Các cấp độ thưởng
Phần thưởng được xác định dựa trên mức độ nghiêm trọng của lỗ hổng:
- Nghiêm trọng
- Cao
- Trung bình
- Thấp
Cách gửi báo cáo
Vui lòng gửi chi tiết lỗ hổng qua email báo cáo bảo mật chính thức của Echobit: marketing@echobit.com
Để giúp chúng tôi xác thực và xử lý báo cáo của bạn một cách hiệu quả, vui lòng bao gồm:
- Hướng dẫn tái tạo từng bước rõ ràng
- Phạm vi bị ảnh hưởng (hệ thống, điểm cuối, trang, tài khoản, kịch bản)
-
Các tài liệu hỗ trợ cần thiết, chẳng hạn như:
ảnh chụp màn hình
nhật ký (nếu có)
Chi tiết PoC (nếu phù hợp)
Sau khi xác nhận, nhóm bảo mật của chúng tôi sẽ liên hệ với bạn để thảo luận về tiến độ xử lý và thỏa thuận phần thưởng.
Chính sách tiết lộ có trách nhiệm
Để bảo vệ người dùng và nền tảng, tất cả người tham gia phải tuân thủ các nguyên tắc tiết lộ có trách nhiệm:
- Không công khai lỗ hổng trước khi nó được khắc phục và bạn đã nhận được sự cho phép
- Không truy cập, trích xuất hoặc lưu giữ dữ liệu vượt quá mức cần thiết để xác thực lỗ hổng
- Không sửa đổi hoặc phá hủy dữ liệu người dùng hoặc can thiệp vào khả năng hoạt động của nền tảng
- Không sử dụng lỗ hổng để kiếm lợi nhuận hoặc gây hại đến quyền lợi của người dùng khác
Thông báo quan trọng
Các cuộc tấn công độc hại, truy cập dữ liệu trái phép hoặc đánh cắp tài sản không được bảo vệ theo chương trình này. Echobit có quyền truy cứu trách nhiệm pháp lý đối với bất kỳ hành vi bất hợp pháp hoặc gây hại nào.