Lewati ke konten utama
lang
English (US)

Bantuan

Apa yang Anda cari?

Pencarian

Program Bounty Tokenomy

Rene Jonathans
  • Diperbarui

Tokenomy menyadari pentingnya peran kelompok keamanan independen atau peneliti individu dalam membantu meningkatkan keamanan platform kami secara keseluruhan. Kami mengajak Anda untuk turut serta menemukan kelemahan dari sistem keamanan kami melalui program Bug Bounty kami yang akan dijelaskan pada halaman berikut.

Persyaratan:

Persyaratan berikut harus dipatuhi untuk berpartisipasi dalam program Bug Bounty Tokenomy:

  • Kami menyelidiki dan menanggapi semua laporan yang valid. Karena banyaknya laporan yang kami terima, kami memprioritaskan evaluasi berdasarkan risiko dan faktor lainnya, sehingga mungkin perlu waktu cukup lama sebelum Anda menerima balasan.
  • Kami menentukan jumlah hadiah berdasarkan berbagai faktor, termasuk (namun tidak terbatas pada) dampak, kemudahan eksploitasi, dan kualitas laporan. Mohon dicatat bahwa masalah yang berisiko sangat rendah memiliki kemungkinan untuk tidak mendapatkan hadiah sama sekali.
  • Kami berusaha membayar jumlah yang sama untuk masalah serupa, tetapi jumlah hadiah dan masalah kualifikasi dapat berubah seiring waktu. Hadiah yang sama dengan sebelumnya tidak selalu menjamin hasil yang sama di masa depan.
  • Jika ada laporan yang terduplikasi, kami memberikan hadiah kepada orang pertama yang mengirimkan laporan masalah tersebut. (Kapasitas menentukan duplikat dan mungkin tidak memberikan detail pada laporan lain.) Hadiah yang diberikan hanya dibayarkan kepada satu individu.
  • Partisipasi Anda dalam program ini tidak boleh mengganggu atau membahayakan data apa pun yang bukan milik Anda. Setiap serangan terhadap pengguna lain atau data perusahaan tanpa persetujuan yang dapat dibuktikan bahwa hal tersebut dilarang, secara otomatis akan mendiskualifikasi Anda untuk berpartisipasi dalam program.
  • Anda tidak boleh mengungkapkan masalah yang Anda temukan kepada publik atau pihak ketiga sebelum masalah tersebut diperbaiki dan ada persetujuan tertulis sebelumnya dari Tokenomy.
  • Anda harus mematuhi hukum dan peraturan yang berlaku sehubungan dengan partisipasi Anda dalam program ini.
  • Tim development Tokenomy, karyawan, dan semua afiliasi lainnya tidak akan mendapatkan hadiah.

Program Bug Bounty Tokenomy  bukanlah kontes atau kompetisi. Program ini adalah program yang bersifat eksperimental dan hadiah diskresi. Kami dapat mengubah ketentuan program ini atau menghentikan program ini kapan saja tanpa pemberitahuan. Semua keputusan mengenai jumlah dan jenis hadiah yang diberikan, metode pembayaran (untuk hadiah uang), dan apakah masalah yang dilaporkan merupakan risiko yang signifikan dan memenuhi syarat untuk hadiah atau tidak, akan ditentukan atas kebijaksanaan penuh Tokenomy. dalam setiap kasus.


Cakupan:

Berikut Domain yang berada dalam cakupan program Bug Bounty Tokenomy:

  • Tokenomy.com dan subdomain-nya.

Setiap masalah desain atau implementasi yang secara substansial mempengaruhi kerahasiaan atau integritas data pengguna kemungkinan besar berada dalam cakupan program, ini termasuk:

  • SQL injections.
  • Reflective or stored XSS.
  • Cross-Site Request Forgery (CSRF).
  • Server-Side Request Forgery (SSRF).
  • File inclusions (Local & Remote).
  • Server-Side Remote Code Execution (RCE).
  • Leakage of sensitive information.
  • Authentication Bypasses.
  • Payment Manipulation.
  • Directory Traversal Issue.
  • Protection Mechanism bypasses (CSRF bypass, etc.).
  • Access Control Issues (Insecure Direct Object Reference Issues, Privilege Escalation, etc).

Diluar Cakupan:

Vulnerabilitas yang tidak memenuhi kualifikasi:

  • Segala jenis serangan DoS/DDoS sangat dilarang
  • Serangan Brute force
  • Tabnabbing
  • Social engineering, serangan fisik, phishing, spamming
  • Application stack traces
  • Self-type Cross-Site Scripting
  • Cross-site Request Forgery (CSRF) dengan dampak keamanan minimal (Logout CSRF, dst.)
  • Password complexity requirement
  • Laporan scan SSL/TLS (ini berarti keluaran dari situs seperti SSL Labs)
  • Masalah Banner grabbing (mencari tahu server web yang kami gunakan, dst.)
  • Injeksi Comma Separated Values (CSV) tanpa demonstrasi vulnerabilitas
  • Injeksi Comma Separated Values (CSV) tanpa demonstrasi vulnerabilitas
  • Vulnerabilitas terkait dengan isi otomatis formulir web
  • Vulnerabilitas dalam aplikasi atau platform pihak kedua atau pihak ketiga
  • Vulnerabilitas yang hanya dapat dieksploitasi pada browser atau platform yang kedaluwarsa
  • Vulnerabilitas yang mengharuskan pengguna untuk disusupi ekstensi browser yang berbahaya
  • Catatan SPF (Sender Policy Framework) tidak valid atau hilang (SPF/DKIM/DMARC tidak lengkap atau hilang)
  • Clickjacking/UI redressing dengan dampak keamanan minimal
  • Rate Limit (misalnya: verifikasi melalui Email atau SMS)
  • Masalah verifikasi email, kedaluwarsa pengaturan ulang kata sandi, dan kebijakan kerumitan kata sandi
  • Vulnerabilitas teoretis tanpa bukti konsep yang sebenarnya
  • Laporan dari kerentanan dari web scanners otomatis (Acunetix, Burp Suite, Vega, Nessus, etc.) yang belum divalidasi
  • Open-Redirects. 99% dari open redirects memiliki dampak keamanan yang rendah. Untuk kasus yang jarang terjadi di mana dampaknya lebih tinggi, misalnya, mencuri token OAuth, kami masih ingin mendengarnya
  •  

Vulnerabilitas yang tidak memenuhi kualifikasi - Aplikasi Mobile:

  • Share link bocor melalui clipboard sistem
  • Setiap URLs bocor karena aplikasi berbahaya memiliki izin untuk melihat URL yang dibuka
  • Tidak adanya certificate pinning
  • Data sensitif di badan URLs/request saat terproteksi oleh TLS
  • Data pengguna yang disimpan tanpa enkripsi di penyimpanan eksternal dan direktori pribadi
  • Kurangnya kemampuan menjelaskan masalah dianggap tidak memenuhi kualifikasi
  • Autentikasi “aplikasi rahasia” dibuat hard-coded/recoverable di aplikasi
  • Kerusakan akibat intents yang salah format dan dikirim ke Aktivitas/Layanan/Broadcast Receive yang diekspor (mengeksploitasi hal-hal tersebut untuk kebocoran data sensitif sudah umum terjadi dalam cakupan) dan karena Skema URL yang salah format.
  • Kurangnya kontrol perlindungan biner pada aplikasi android
  • Kurangnya mitigasi Eksploitasi seperti: PIE, ARC, atau Stack Canaries
  • Path disclosure pada sistem biner 
  • Kebocoran Snapshot/Pasteboard 
  • Eksploitasi Runtime hacking (eksploitasi hanya mungkin dilakukan di lingkungan yang sudah jailbroken/rooted)

Hadiah

  • Program bounty Tokenomy mempertimbangkan sejumlah variabel dalam menentukan hadiah (yaitu: kesulitan eksekusi, kualitas laporan, dampak bisnis).
  • Semua hadiah uang hanya dapat dikreditkan ke wallet Tokenomy.
  • Anda bertanggung jawab penuh atas pajak yang timbul dari atau terkait dengan partisipasi Anda dalam program Bug Bounty ini.
  • Tokenomy juga akan mengeluarkan sertifikat pengakuan untuk membedakan setiap individu.

Pengajuan

Meskipun kami menerima pelaporan masalah non-keamanan, harap dicatat bahwa hanya masalah keamanan lah yang memenuhi syarat untuk mendapatkan hadiah. Jika Anda menemukan vulnerabilitas, kami ingin bekerja sama dengan Anda untuk mengatasinya:

  • Silakan email kami di security@tokenomy.com dengan subjek “[Bug Bounty Tokenomy] - Nama Vulnerabilitas”. Harap tidak menghubungi karyawan secara langsung atau melalui saluran lain untuk melapor.
  • Di dalam badan email, harap jelaskan sifat bug serta langkah yang diperlukan untuk mereplikasinya, komponen yang rentan (API, FQDN, Deep URL), serta aplikasi, program, perangkat terkait yang digunakan untuk menemukan bug tersebut beserta tanggal dan waktu saat pengujian dilakukan.
  • Sertakan nama sesuai kartu identitas, nomor telepon, dan alamat IP Anda pada saat pengujian, dalam laporan Anda.

Jangan ragu untuk menghubungi kami di security@tokenomy.com jika ada pertanyaan mengenai program Bug Bounty. Kami menerima banyak kiriman melalui program ini, jadi kami mungkin tidak dapat segera membalas email Anda, tetapi kami akan membalasnya sesegera mungkin. Terima kasih

Back to Dashboard

Tidak menemukan apa yang Anda cari?

Hubungi kami
Didayai oleh Zendesk