Chính sách săn lỗi

Company NoOnes (also referred to as “NoOnes,” “we,” “us,” or “our”) takes steps to improve our product and provide secure solutions for our customers. In this Bug Bounty Policy (“Policy”), we describe applicable cases for our Bug Bounty Program and how it should be used in connection with your use of our website at https://noones.com/, including, but not limited to, the NoOnes Wallet, online Bitcoin trading platform, mobile application, social media pages, or other online properties (collectively, the “Website”), or when you use any of the products, services, content, features, technologies, or functions we offer (collectively, the “Services”). This Policy is designed to help you obtain information about how you can participate in our Bug Bounty Program, which secure research results are applicable, and which benefits you can receive. Please note that our Service offerings may vary by region.

Trong mọi trường hợp, phiên bản tiếng Anh của chính sách săn lỗi này sẽ là tài liệu gốc và có tính quyết định. Trong trường hợp xảy ra bất kỳ mâu thuẫn nào giữa phiên bản tiếng Anh của chính sách săn lỗi này với bản dịch chính sách sang bất kỳ ngôn ngữ nào khác, phiên bản tiếng Anh sẽ có tính quyết định và có quyền kiểm soát.

Chương trình săn lỗi là gì?

In order to improve NoOnes and the Services, the NoOnes Bug Bounty Program provides our users an opportunity to earn a reward for identifying security related issues.

Làm thế nào bạn có thể thông báo về phát hiện của mình trong chương trình săn lỗi cho chúng tôi?

Liên hệ thông qua địa chỉ [email protected]. Trong email, vui lòng mô tả đầy đủ về lỗi mà bạn tìm thấy cũng như bằng chứng có thể xác minh về lỗi này (giải thích / các bước để tái hiện lỗi / ảnh chụp màn hình / video / kịch bản hoặc các tài liệu khác).

Quy tắc của chương trình

Việc vi phạm bất cứ quy tắc nào có thể khiến bạn không còn đủ tư cách để nhận phần thưởng từ việc phát hiện lỗi.

  • Chỉ thử nghiệm lỗi với tài khoản thuộc sở hữu của bạn, hoặc tài khoản mà bạn được chủ sở hữu cho phép.
  • Không bao giờ tận dụng các lỗi này để xâm phạm/rò rỉ dữ liệu hoặc lưu chueyern chúng tới những hệ thống khác. Chỉ sử dụng biện pháp chứng minh khái niệm để mô tả về một vấn đề.
  • Nếu các thông tin nhạy cảm như thông tin cá nhân, thông tin tài khoản, vân vân... bị rò rì do lỗi này, bạn không được lưu lại, giao cho người khác, sử dụng chúng để truy cập tài khoản hoặc bằng cách này hay cách khác xử lý sau khi phát hiện.
  • Những người thực hiện phân tích lỗi không được và không có quyền tham gia vào bất cứ hoạt đồng nào làm gián đoạn, tổn hại hoặc có hại tới NoOnes.
  • Những người thực hiện phân tích lỗi không được công khai để lộ ra các lỗi này (chia sẻ bất cứ thông tin nào với bất cứ ai ngoài các nhân viên có thẩm quyền của NoOnes), hoặc bằng cách này hay cách khác chia sẻ chúng với một bên thứ ba mà không có sự đồng ý của NoOnes.

Chúng tôi đánh giá các lỗ hổng được xác định trong chương trình săn lỗi như thế nào?

Mọi phát hiện đều được đánh giá và tiếp cận căn cứ vào mức độ rủi ro.

Thỏa thuận Bảo mật Thông tin

Trước khi bắt đầu thảo luận về bất cứ thông tin chi tiết nào liên quan đến các vấn đề bạn đã xác định trong chương trình săn lỗi, bao gồm tiền công, v.v., bạn cần ký kết một Thỏa thuận Không Tiết lộ Thông tin với chúng tôi.

Chúng tôi trả công cho chương trình săn lỗi như thế nào?

NoOnes thanh toán cho tất cả mọi phần thưởng. Phần thưởng chỉ có thể được thanh toán nếu chúng không trái với các luật pháp và quy định hiện hành, bao gồm nhưng không chỉ giới hạn đến các lệnh trừng phạt kinh tế và hạn chế giao thương.

Chúng tôi cần bao nhiêu lâu để phân tích những phát hiện của bạn trong chương trình săn lỗi?

Do bản chất biến đổi và phức tạp của các vấn đề kỹ thuật, chúng tôi không thiết lập một dòng thời gian cụ thể để phân tích các phát hiện trong chương trình săn lỗi. Quy trình phân tích sẽ chỉ kết thúc sau khi chúng tôi đã xác nhận sự tồn tại hay không tồn tại của một lỗ hổng bảo mật cụ thể.

Các trường hợp nào không được tính vào chương trình săn lỗi?

Một số lỗi hệ thống cụ thể không nằm trong chương trình Phát hiện Lỗi. Những lỗi này bao gồm nhưng không giới hạn trong:

  • Spam;
  • Các lỗi hệ thống chỉ xảy ra khi bị tấn công phi điện tử/lừa đảo;
  • Tấn công từ chối dịch vụ (DDOS);
  • Các vấn đề trên lý thuyết và không tạo ra ảnh hưởng gì trong thực tế;
  • Các lỗ hổng bảo mật của các ứng dụng và trang web bên thứ ba đã tích hợp với NoOnes;
  • Báo cáo được tạo bởi máy quét hoặc thiết bị đầu ra của máy quét;
  • Các vấn đề được phát hiện thông qua kiểm tra tự động;
  • Các lỗi được công khai trong phần mềm Internet trong vòng 30 ngày kể từ ngày thông báo;
  • Tấn công xen giữa;
  • Xâm phạm qua lỗ hổng bảo mật ứng dụng trang web mà không nhằm mục đích chỉ ra một sự cố cụ thể, có thể chứng minh được;
  • Lừa đảo Self-XSS, bao gồm bất cứ payload (phần dữ liệu vận chuyển) nào mà nạn nhân chạy/sử dụng.
  • Đăng nhập/đăng xuất CSRF;
  • Login/logout Clickjacking;
  • Credentials found in leaked databases.

Vulnerabilities that enable attackers to authenticate, add, delete or modify any of the content on the blog.noones.com, noones.com/blog.