Comment signaler une vulnérabilité de sécurité
-
Les produits et versions logicielles
-
Description détaillée
-
Informations sur les exploits connus
Clés publiques PGP
-
Date d'activité : 4 décembre 2023
-
Date d'expiration : Jamais
-
ID de clé : 5FC6 17E8
-
Type de clé : RSA
-
Empreinte digitale : BC02435AAC1506132BD2235BAA45224A5FC617E8
-
Identifiant utilisateur : infosec@cmf.tech
Règles de récompense de vulnérabilité
Flux de traitement :
Soumission de vulnérabilité
Pour soumettre un rapport de vulnérabilité, veuillez envoyer un e-mail au compte désigné avec votre adresse e-mail enregistrée pour la communication et les récompenses. L'e-mail doit contenir les informations suivantes : catégorie de vulnérabilité, titre, nom de domaine, niveau de vulnérabilité, description de la vulnérabilité, détails, pièces jointes et plan de réparation.
La section Détails doit inclure une description du processus de test ou de découverte de vulnérabilité et l'étendue de l'impact. Veuillez fournir des documents sources du code, des captures d'écran et des vidéos pertinents si nécessaire. Si vous avez utilisé des outils de débogage pendant le processus d'exploitation, veuillez les télécharger sous forme de pièces jointes. Si les outils sont trop volumineux, veuillez fournir un lien de téléchargement. De plus, veuillez fournir la preuve de concept ou l’exploit de la vulnérabilité.
Veuillez noter que si vous ne respectez pas ces exigences, votre rapport pourrait ne pas passer le processus d'examen.
Une fois que nous recevrons votre rapport de vulnérabilité, nous terminerons le processus de vérification dans les 30 jours ouvrables et répondrons à votre e-mail de vulnérabilité avec les résultats. Veuillez continuer à surveiller votre courrier électronique pour les mises à jour.
Règles de récompense de vulnérabilité
|
Niveau de vulnérabilité |
Définition de la vulnérabilité |
Fourchette de montant de récompense du coupon du centre commercial (USD) |
|
Critique |
Divulgation d'informations sensibles, accès non autorisé aux systèmes centraux ou à de grandes quantités d'informations sensibles, ultra vires sur les opérations sensibles. |
1000-2000 |
|
Haut |
Vulnérabilités qui obtiennent directement des autorisations, entraînent une fuite d’informations sensibles et volent des informations internes sur les utilisateurs. |
500-1000 |
|
Moyen |
Des vulnérabilités qui nécessitent une interaction pour obtenir des autorisations, entraînent de graves fuites d'informations et volent des informations internes sur les utilisateurs. |
100-500 |
|
Faible |
Ce n'est que dans un environnement spécifique que les autorisations d'accès peuvent entraîner une fuite d'informations, un vol de vulnérabilités internes aux informations des utilisateurs. |
20-100 |
Si le coupon du magasin n'est pas disponible dans votre région, nous le convertirons en d'autres récompenses au prorata.
Nous terminerons la distribution des récompenses dans les 30 jours ouvrables suivant la vérification de la vulnérabilité. Veuillez vérifier votre récompense à temps.
Avis
Les situations suivantes ne seront pas récompensées :
1.Vulnérabilités sans rapport avec le produit CMF.
2.Vulnérabilités rendues publiques avant d'être corrigées.
3. Vulnérabilités qui ont été divulguées publiquement en ligne.
4.Pour la même vulnérabilité, le premier rapporteur sera récompensé et les autres rapporteurs ne seront pas récompensés. La même vulnérabilité dans différentes versions est considérée comme la même vulnérabilité.
5. Ceux qui utilisent les vulnérabilités pour nuire aux intérêts des utilisateurs, affecter les opérations commerciales ou voler les données des utilisateurs ne recevront aucun point et Nothing se réserve le droit d'engager d'autres poursuites judiciaires.
Les situations suivantes donneront lieu à des récompenses déclassées/remboursées :
1.Pour les informations présentant des divergences sérieuses entre le titre et le contenu, une dégradation de la vulnérabilité sera effectuée en fonction de l'intrigue, et les cas graves seront traités comme une négligence de vulnérabilité/intelligence.
2.Les collègues réviseurs procéderont à la modération du contenu des rapports sur la base de normes de reporting de haute qualité. Pour les rapports qui manquent de facteurs clés (description textuelle, preuve d'image, processus de test, interface de risque, paramètres, etc.), ont une présentation chaotique et ne peuvent pas être reproduits de manière stable, ils seront rétrogradés/ignorés.
3. Sans la permission de Nothing, divulguez en privé les détails de la vulnérabilité au public, récupérez les récompenses de vulnérabilité et réservez le droit de poursuivre légalement.
Pour la même URL, s'il existe des vulnérabilités similaires dans plusieurs paramètres, les récompenses seront attribuées en fonction d'une vulnérabilité, et les récompenses seront attribuées en fonction du plus grand degré de préjudice pour différents types.
Plusieurs vulnérabilités générées par la même source de vulnérabilité sont comptées comme une seule vulnérabilité. Par exemple, plusieurs bugs de sécurité causés par le même JS, plusieurs bugs de sécurité de pages causés par le même système de publication, des bugs de sécurité de stations entières causés par des frameworks, plusieurs bugs de sécurité générés par la résolution de noms de domaine, etc.
Soumettez plusieurs vulnérabilités dans un seul rapport et récompensez la vulnérabilité présentant le niveau de dommage le plus élevé.
Lorsque vous soumettez une vulnérabilité, veuillez confirmer si elle aura un impact réel sur l'entreprise et soumettre la preuve du préjudice réel. Les dommages indirects ou spéculatifs ne seront pas pris en compte lors de la notation.
Cycle de distribution des coupons
Nous distribuerons les récompenses dans les 30 jours ouvrables après avoir terminé la vérification de la vulnérabilité. Veuillez vérifier rapidement le statut de votre récompense.
Informations personnelles impliquées
Pour recevoir la récompense, vous devez fournir votre compte NOTHING Mall ou d'autres informations de compte. Cependant, nous ne demanderons aucune information personnelle supplémentaire pendant le processus de soumission de vulnérabilité. Nous n'aurons besoin que de votre adresse e-mail enregistrée pour la communication et des informations de votre compte enregistré pour l'émission de la récompense.
