Bug bounty

Correct.email Vulnerability Reward Program (CRP)

Correct.email - Bug Bounty Programm

Correct.email ist sich bewusst, wie wichtig Sicherheitsforscher für die Sicherheit unserer Community sind. Wir fördern die verantwortungsvolle Offenlegung von Sicherheitslücken über unser auf dieser Seite beschriebenes Bug-Bounty-Programm.

Hinweis: Dieses Programm ist nur für die Offenlegung von Software-Sicherheitslücken gedacht. Wenn Sie glauben, dass Ihr Correct.email-Konto kompromittiert wurde, ändern Sie Ihr Passwort und kontaktieren Sie sofort.

Verantwortungsvolle Offenlegung

Verantwortungsvolle Offenlegung beinhaltet:

  1. Geben Sie uns eine angemessene Zeit, um das Problem zu beheben, bevor Sie es an anderer Stelle veröffentlichen.
  2. Wir bemühen uns nach bestem Wissen und Gewissen, keine Correct.email-Benutzerdaten zu verlieren oder zu zerstören.
  3. Nicht Correct.email Benutzer oder Correct.email selbst in den Prozess der Entdeckung zu betrügen.

Um eine verantwortungsvolle Offenlegung zu fördern, versprechen wir, keine rechtlichen Schritte gegen Forscher einzuleiten, die auf ein Problem hinweisen, vorausgesetzt, sie tun ihr Bestes, um die oben genannten Richtlinien einzuhalten.

Social Engineering

Sie dürfen keine Social-Engineering-Angriffe gegen unser Support-Team durchführen. Dies wird höchstwahrscheinlich dazu führen, dass Ihr Konto geschlossen wird und keine Prämie gewährt wird.

Prämien

Die Mindestauszahlung beträgt $10 USD und ein Eintrag in unserer Hall of Fame für die Meldung einer neuen Sicherheitslücke, die zu einer Code- oder Konfigurationsänderung unsererseits führt. Es gibt keine maximale Belohnung, und wir können höhere Beträge auf der Grundlage der Schwere oder Kreativität der gefundenen Schwachstelle vergeben. Es ist wahrscheinlicher, dass Forscher eine größere Belohnung erhalten, wenn sie zeigen, wie eine Schwachstelle maximal ausgenutzt werden kann.

Die folgende Tabelle dient uns als Richtlinie für die Ermittlung der Vergütungsbeträge:

SchwachstelleBelohnung
Fernausführung von Code$100
Signifikante Manipulation des Kontosaldos$100
XSS/CSRF/Clickjacking mit Auswirkungen auf sensible Aktionen[1]$100
Diebstahl von vertraulichen Informationen[2]$100
Teilweise Umgehung der Authentifizierung$100
Andere XSS (außer Self-XSS)$100
Andere Schwachstellen mit klarem Potenzial für Finanz- oder
Datenverlust$100
Andere CSRF (ohne Logout CSRF)$100
Andere bewährte Verfahren oder Abwehrmaßnahmen im Detail$10

[1] Sensible Aktionen sind: Einzahlen, Handeln oder Senden von Geld; OAuth oder API Key-Aktionen.

[2] Zu den privilegierten Informationen gehören: Passwörter, API-Schlüssel, Bankkontonummern, Sozialversicherungsnummern oder ähnliches.

Teilnahmeberechtigung

Alle Dienste von Correct.email sind für unser Bug-Bounty-Programm geeignet, einschließlich der Correct.email Wallet, API, Merchant Tools und Exchange.

Im Allgemeinen ist es alles, was das Potenzial für finanzielle Verluste oder Datenverluste hat, von ausreichender Schwere, einschließlich:

  • XSS
  • CSRF
  • Umgehung der Authentifizierung oder Eskalation von Privilegien
  • Click jacking
  • Remote-Codeausführung
  • Einholen von Benutzerinformationen
  • Buchhaltungsfehler

Im Allgemeinen würden die folgenden Punkte die Schwelle für den Schweregrad nicht erreichen:

  • Fehlende Passwort-Längenbeschränkungen Zeigt lediglich, dass eine Seite iFramed sein kann, ohne einen Link auf der Seite zu finden, die angeklickt werden soll.
  • Self-XSS
  • Dienstverweigerung
  • Spamming
  • Schwachstellen in Anwendungen von Drittanbietern, die die Correct.email-API verwenden.
  • Schwachstellen, die einen privilegierten Zugriff (z.B. das Rooten eines Telefons) auf die Geräte eines Opfers beinhalten.
  • Abmelden CSRF
  • Schwachstellen bei der Benutzerexistenz und -aufzählung Anforderungen an die Passwort-Komplexität
  • Berichte von automatisierten Tools oder Scans (ohne Nachweis der Verwertbarkeit)
  • Social-Engineering-Angriffe gegen Correct.email-Mitarbeiter oder Auftragnehmer
  • Nur-Text-Injektion in Fehlerseiten
  • Automatische Erstellung von Hyperlinks durch E-Mail-Anbieter von Drittanbietern
  • Verwenden von E-Mail-Mutationen (+, ., etc.), um mehrere Konten für eine einzelne E-Mail zu erstellen.

Die folgenden Domains sind derzeit für unser Bug-Bounty-Programm zugelassen:

  • correct.email
  • app.correct.email
  • admin.correct.email
  • aff.correct.email

Correct.email entscheidet nach eigenem Ermessen, ob eine Schwachstelle für eine Belohnung in Frage kommt und wie hoch die Prämie ist.

Indem Sie eine Schwachstelle einreichen, erklären Sie sich mit den obigen Regeln einverstanden.