Blockchain | Bug Bounty Program

Blockchain | Bug Bounty Program

El programa Bug Bounty de la plataforma Blockchain se ha integrado con HackerOne. Como resultado, todas las presentaciones de Blockchain Bug Bounty Program deben realizarse para su revisión a través del portal HackerOne.

Blockchain es la empresa de criptomonedas más confiable y de más rápido crecimiento, ofreciendo a millones de personas en todo el mundo una forma fácil y segura de acceder a las criptomonedas.

Hasta la fecha, tenemos más de 35 millones de registros de billetera, 100 millones de criptomonedas y transacciones de tokens, y 25 mil usuarios en 140 países.

Recompensas por vulnerabilidades de seguridad

Evaluamos la gravedad de los informes de seguridad en función de su impacto y explotabilidad, basados ​​libremente en los estándares CVSS.

La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Gravedad	Recompensa
Crítico	$2,000+ (compromiso de infraestructura; vulnerabilidades que resultan del robo de claves criptográficas o bases de usuarios, por ejemplo, Wallet XSS, Server Command Injection)
Alto	$750 (por ejemplo, CSRF que ejecuta acciones importantes pero menos graves que la pérdida de fondos)
Medio	$300+ (por ejemplo, inyección de HTML en la sección no transaccional del sitio web: https://hackerone.com/reports/179426)
Bajo	$50 (por ejemplo, revelación de la versión del servidor https://hackerone.com/reports/179217 o revelación de información de bajo valor https://hackerone.com/reports/179599)

Blockchain hará un gran esfuerzo para cumplir con los siguientes planes de respuesta para los investigadores que participan en nuestro programa:

• Tiempo para la primera respuesta (desde el envío del informe): 5 días hábiles
• Tiempo para triage o clasificación (desde el envío del informe): 10 días hábiles
• Tiempo para la recompensa (desde el triaje): 10 días hábiles

En materia de Política de Divulgación, siga las pautas de HackerOne's disclosure guidelines.

Quedan dentro del alcance del programa:

• *.blockchain.com (dominio)
• www.blockchain.com (dominio)
• api.blockchain.com (dominio)
• docs.blockchain.com (dominio)
• login.blockchain.com (dominio)
• mailer1.blockchain.com (dominio)
• mailer2.blockchain.com (dominio)
• mailer3.blockchain.com (dominio)
• pit.blockchain.com (dominio)
• prod.blockchain.com (dominio)
• wallet-helper.blockchain.com (dominio)
• www.blockchain.info (dominio parcialmente en desuso. La gravedad puede ser limitada)
• api.blockchain.info (dominio parcialmente en desuso. La gravedad puede ser limitada)
• bci-ads.blockchain.info (dominio)
• blog.blockchain.info (dominio parcialmente en desuso. La gravedad puede ser limitada)
• consul.dev.blockchain.info (dominio)
• *.europe-west1.dev.blockchain.info (dominio)
• *.dev.blockchain.info (dominio parcialmente en desuso. Sistema de preproducción. La gravedad puede ser limitada)
• horizon.blockchain.info (dominio)
• pit.*.blockchain.info (dominio)
• ws.blockchain.info (dominio)
• ws.prod.blockchain.info (exchange API: https://exchange.blockchain.com/api/#introduction)
• exchange.blockchain.com (dominio)
• Wallet App (Android): https://play.google.com/store/apps/details?id=piuk.blockchain.android (otro)
• Merchant App (Android): https://play.google.com/store/apps/details?id=info.blockchain.merchant (otro)
• Wallet App (iOS): https://itunes.apple.com/us/app/blockchain-wallet-bitcoin/id493253309 (otro)
• Merchant App (iOS): https://itunes.apple.com/us/app/blockchain-merchant/id947009571 (otro)
• Hardware and software for the Blockchain Lockbox hardware wallet (otro)

Quedan fuera del alcance del programa:

• Open redirect en blockchain.com/r
• Se puede usar la misma dirección de correo electrónico para registrar varias cuentas de billetera (wallet), esto es intencionado.
• https://en.bitcoin.it/wiki/ y el dominio en.bitcoin.it NO son propiedad de Blockchain y, por lo tanto, NO están dentro del alcance.
• La implementación de métodos HTTP como OPTIONS no constituye una vulnerabilidad en sí misma
• Clickjacking en páginas sin acciones vulnerables
• Unauthenticated/logout/login CSRF
• Ataques que requieren MITM (Man In The Middle) o acceso físico al dispositivo de un usuario
• Librerías vulnerables previamente conocidas sin una PoC (Proof of Concept) que funcione
• Comma Separated Values (CSV) Injection sin una vulnerabilidad demostrable
• Ausencia de prácticas de optimización en la configuración SSL/TLS
• DoS. Se pueden informar vulnerabilidades del software DoS, pero se deben probar de manera que no afecten significativamente el servicio a los usuarios
• Content Spoofing y Text Injection sin mostrar un vector de ataque o sin poder modificar HTML/CSS
• Phishing de sitios web y aplicaciones parecidas a malware (en su lugar, informe al personal de soporte)
• https://itunes.apple.com/us/app/zeroblock-real-time-bitcoin/id643184018 (ZeroBlock iOS application -- legacy support only)
• Seguridad física de nuestras oficinas, empleados, etc
• Errores de UX que no tienen impacto en la seguridad

Los siguientes activos representan aplicaciones de terceros y, por tanto, quedan fuera del alcance del programa:

• campaigns.blockchain.com (ActOn)
• email-clicks.blockchain.com (SendGrid)
• jamf.blockchain.com (Jamf)
• support.blockchain.com (ZenDesk)
• blog.blockchain.com (Ghost)

Las aplicaciones web operadas por terceros solo se consideran dentro del alcance en las siguientes circunstancias:

• los aspectos que controlamos directamente, como nuestros propios registros DNS para subdominios que apuntan a aplicaciones de terceros.
• las vulnerabilidades en aplicaciones de terceros se deben informar primero al proveedor. Opcionalmente, podemos recompensar estos errores en función del resultado de ese informe.

Nuestro código fuente de la aplicación (open source) se puede encontrar para su revisión en GitHub.

Fuente: https://hackerone.com/blockchain