Whitehat - Responsible disclosure

 

Whitehat - Responsible disclosure

We stellen alle feedback over onze diensten op prijs en zijn dankbaar voor mensen die de moeite nemen om contact met ons op te nemen en hun feedback te geven.

Bedankt voor jouw bijdrage aan de veiligheid van de bitcoincommunity!

Verantwoordelijke openbaarmaking

We moedigen beveiligingsonderzoekers aan om eventuele kwetsbaarheden die ze in onze architectuur en/of software vinden eerst met ons te delen.

Hieronder ons beleid met betrekking tot responsible disclosure.

1: Hoe te melden

Beveiligingsproblemen en/of kwetsbaarheden kunnen per e-mail worden gemeld aan support@bitmymoney.nl. Conform RFC 9116 kun je op onze website een security.txt vinden voor contact informatie: https://www.bitmymoney.com/.well-known/security.txt

De melding dient het volgende te bevatten:

  • Een beschrijving en de impact
  • Stappen om het probleem te reproduceren of een proof-of-concept
  • Naam en link voor vermelding op deze pagina

2: Doorlooptijd

Wij zullen meldingen binnen 2 werkdagen bevestigen. Wij streven ernaar om binnen 5 werkdagen een inhoudelijk antwoord op de melding aan je te doen toekomen.

3: Verantwoordelijk melden

  • Deel geen gegevens met anderen
  • Deel het issue met ons voordat je het ergens anders publiceert.
  • Zorg ervoor dat er geen Bitmymoney-gegevens worden gelekt of vernietigd.
  • Zorg ervoor om geen Bitmymoney-gebruikers of Bitmymoney zelf te misleiden tijdens het ontdekkingsproces.
  • Om verantwoorde openbaarmaking te bevorderen, beloven we geen juridische stappen te ondernemen tegen onderzoekers die een probleem aankaarten, mits ze hun best doen om de bovenstaande richtlijnen te volgen.

4: Beloningen

We belonen alle meldingen die nog niet eerder zijn gemeld met voldoende impact. 
We kennen hogere bedragen toe op basis van de ernst. Bitmymoney behoudt zich het recht voor om te bepalen of de minimale drempel voor impact is bereikt en of de kwetsbaarheid al eerder is gemeld.

De minimale uitbetaling voor een voorheen onbekende beveiligingskwetsbaarheid is € 25. Dubbele meldingen van kwetsbaarheden worden niet beloond.

Als dank geven we - indien gewenst - een bronvermelding op deze pagina.

5: Kwetsbaarheid

Over het algemeen is alles wat potentieel financieel verlies of een datalek kan veroorzaken voldoende ernstig, waaronder:

  • XSS
  • CSRF with severe impact on users
  • Authentication bypass or privilege escalation
  • Click jacking
  • Remote code execution
  • Obtaining user information

Over het algemeen voldoen de volgende niet aan de drempelwaarde voor impact:

  • Denial-of-service
  • Spamming
  • SPF Record settings

 

 

Wall of fame

Wij danken deze White Hat genieën:

2021-07-20 Kinshuk Kumar

2021-06-17 Tinu Pentesting

2021-06-01 Junaid Satti

2021-02-17 Harsh Joshi

2019-12-26 justlife4x4

2019-12-26 BuG HunTer BK

2019-10-16 Yassine Nafiai

2019-05-28 Maulik Shah

2019-04-01 Pal Patel

2019-03-28 Tarikul Islam

2019-03-19 Agung Saputra

2019-03-04 Pratik Vinod Yadav 

2019-01-19 Younes Belarbi

2016-10-04 MrDice

2015-12-07 Mohammed Abdulqader Abobaker Al-saggaf

2014-05-22 Imen Soussi

2014-05-22 James Amos