Programa de Bug Bounty Anubis Trade

 

A AnubisTrade pretende ser um ponto fora da curva no mercado no quesito Segurança da Informação. Por isso, abraçamos pesquisas em nossa plataforma, que sejam realizadas de forma responsável e similar à utilizada no mercado internacional, para as quais nos comprometemos a não perseguir pesquisadores, nem criminalizar a descoberta de falhas de segurança, desde que sigam os critérios expostos a seguir.

I.       Das Regras Gerais

Os pesquisadores se comprometem a:

1.   Não violar nenhuma lei local ou internacional ao fazer pesquisas, isso inclui o exposto na Lei;

2.   Não violar a privacidade de clientes sem a autorização prévia destes, e caso essas informações sejam obtidas de forma acidental, as mesmas devem ser incluídas em relatório, devendo ser apagados todos os dados residuais que possam ter ficado com o pesquisador;

3.   Realizar os testes em sua conta pessoal, caso seja necessário apontar para uma conta individual de cliente;

4.   Não realizar ataques físicos, de DDoS, de Phishing ou outras formas de engenharia social;

5.   Não realizar a destruição de dados ou interrupção/prejuízo de serviços;

6.   Não usar falhas para extorquir a AnubisTrade ou seus clientes. Tal tentativa implicará em relatório às autoridades competentes e adoção das medidas legais cabíveis.

 

II.       Da Política de “Responsible Disclosure”

A AnubisTrade se compromete a:

1.   Corrigir as falhas o mais rápido possível, para o que deverá ser concedido tempo suficiente antes de sua divulgação;

2.   Não divulgar quaisquer informações de falhas antes de sua correção;

3.   Divulgar publicamente as falhas encontradas após sua correção.

 

III.       Das Falhas Elegíveis

São falhas elegíveis:

FALHA

DESCRIÇÃO

Ambiente de Rede Mal Configurado / Protegido

Ocorre quando o ambiente de rede está com as configurações padrão ou quando não foi protegido/configurado adequadamente.

APIs Subprotegidas

Ocorrem quando aplicações que possuem APIs estão desprotegidas, as quais podem conter diversas vulnerabilidades.

Clickjacking

Ocorre quando se sobrepõe algum elemento “clicável” em uma tela com um Iframe ou quadro invisível, contendo a página em que um atacante quer que o usuário execute cliques do mouse.

Configurações Incorretas de Segurança

Ocorrem quando não há implementação de configurações de segurança ou quando as mesmas estão incorretamente definidas.

Cross Site Scripting (XSS)

Ocorre quando uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro.

Cross-Site Request Forgery (CSRF)

Ocorre quando uma vítima que possui uma sessão ativa em um navegador envia uma requisição HTTP forjada, incluindo o cookie da sessão, a uma aplicação web vulnerável.

Execução Remota de Código (RCE)

Ocorre quando um atacante consegue executar código arbitrário sem acesso físico ao sistema ou ao ambiente computacional de destino.

Exposição de Dados Sensíveis

Ocorre quando não há a devida proteção de dados sensíveis.

Fingerprinting / Footprinting

Ocorre quando é possível descobrir/coletar informações de rede, serviços, computador, sistema operacional e/ou usuário(s).

Injeção de Código / SQL / Cliques

Ocorre quando dados não confiáveis são enviados para um interpretador como parte de um comando ou quando é possível manipular e inserir indevidamente instruções dentro de uma consulta a banco de dados.

Proteção Insuficiente Contra Ataques

Ocorre quando aplicativos e APIs não são capazes de detectar, prevenir e responder a ataques manuais e automatizados.

Quebra de Autenticação e Gerenciamento de Sessão

Ocorre quando as funções da aplicação relacionadas à autenticação e gerenciamento de sessão estão implementadas de forma incorreta.

Quebra de Controle de Acesso

Ocorre quando não são aplicadas restrições sobre o que os usuários autenticados podem fazer.

Sistema Operacional Mal Configurado / Protegido

Ocorre quando o sistema operacional está com as configurações padrão ou quando não foi protegido/configurado adequadamente.

Sniffing

Ocorre quando é possível capturar o tráfego da rede, a fim de se obter e/ou manipular arquivos ou senhas que estejam desprotegidos.

Uso de Componentes com Vulnerabilidades Conhecidas

Ocorre quando componentes como bibliotecas, frameworks e outros módulos de software, são executados com privilégios de sistema.

 

IV.       Das Falhas Inelegíveis

São falhas inelegíveis:

1.   Vulnerabilidades em sites ou aplicações de terceiros, que não estejam sob o controle da AnubisTrade;

2.   Falhas que já tenham sido publicadas ou relatadas em duplicidade;

3.   Falhas em versões antigas do sistema ou aplicações;

4.   Falhas que dependam exclusivamente de versões antigas de navegadores;

5.   Falhas que tenham causado danos aos dados do sistema ou interrupção total ou parcial do mesmo;

6.   Bugs que não possam ser reproduzidos;

7.   Relatórios que não mostrem uma falha intrinsecamente técnica;

8.   Falhas de DDoS que sejam mitigados atualmente por nossos mecanismos de defesa (ex: Firewall);

9.   Falhas que dependam do uso de engenharia social contra nossos funcionários.

 

V.       Da Recompensa

A recompensa se dará na seguinte forma:

1.   Será paga em Bitcoin (BTC);

2.   Será paga ao primeiro pesquisador/grupo que relatar a(s) falha(s);

3.   Em caso de falha(s) descoberta(s) por grupo(s), será paga a apenas um pesquisador e este ficará responsável por dividir/distribuir com os demais participantes na descoberta;

4.   Terá valor mínimo de R$500,00 (quinhentos reais);

5.   Não haverá teto para valores e pagamentos;

6.   Será progressivamente maior de acordo a gravidade da(s) falha(s) encontrada(s);

7.   Será paga por falha elegível, devidamente comprovada e validada;

8.   Além da gravidade da falha, também serão julgados os seguintes critérios para definição da recompensa:

a.   Qualidade do relatório;

b.   Detalhamento de informações sobre a(s) falha(s) encontrada(s);

c.   Descrição de sua explorabilidade, seguida de sua gravidade x impacto;

d.   Prova de conceito ou passo a passo para sua reprodução/validação.

9.   Fatores que aumentam o valor da(s) falha(s):

a.   Sensibilidade de dados expostos;

b.   Quantidade de clientes expostos e afetados pela falha;

c.   Facilidade de exploração da falha;

d.   Possibilidade de furto de fundos de clientes;

e.   Impedimento do funcionamento da plataforma;

10. Fatores que diminuem o valor da(s) falha(s):

a.   Necessidade de engenharia social;

b.   Necessidade de força bruta;

c.   Mitigação por firewalls;

d.   Necessidade de acesso físico;

e.   Necessidade de acesso privilegiado.

 

VI.       Do Envio e Avaliação dos Relatórios

Os relatórios enviados à AnubisTrade serão avaliados em um prazo de até cinco dias úteis pela Access Security Lab, a qual validará a(s) falha(s) encontrada(s), pontuando-a(s) e calculando o valor final para o bounty, e deverão seguir as seguintes diretrizes:

1.   Conter o máximo de informações possíveis sobre a(s) vulnerabilidade(s) encontrada(s);

2.     Ser enviados para o endereço [email protected] com o Assunto “Relatório de Vulnerabilidade(s) Encontrada(s)”;

3.   Se a(s) vulnerabilidade(s) encontrada(s) e reportada(s) forem validada(s) e confirmada(s), o pesquisador que a(s) encontrou e reportou receberá um e-mail no qual será solicitado informações sobre a identificação da carteira para depósito do valor (em BTC) referente ao pagamento do bounty;

4.   Caso queira, o(s) pesquisador(es) pode(m) incluir seu(s) nome(s), codinome(s), ou nome da equipe/grupo de pesquisa, no e-mail, ou no relatório, e, se tiver(em), um link para seu(s) perfil(is) profissional(is), ou página(s) web, a fim de que seja divulgado no “salão da fama” no site da AnubisTrade.