Comment signaler une vulnérabilité de sécurité dans le portefeuille Coinbase?

Comprendre les rapports de vulnérabilité de sécurité dans le portefeuille Coinbase

Le portefeuille Coinbase, en tant que portefeuille de crypto-monnaie non gardien, accorde une grande importance à la sécurité des utilisateurs et à l'intégrité de sa plate-forme. Lorsque les utilisateurs ou les chercheurs en sécurité identifient les vulnérabilités potentielles, un processus formel est en place pour s'assurer que ces problèmes sont traités efficacement et de manière responsable.

La déclaration d'une vulnérabilité de sécurité aide correctement à protéger des millions d'utilisateurs et à renforcer l'écosystème global.

Étapes pour signaler un problème de sécurité

1. Accédez à la page officielle de divulgation de sécurité Coinbase, qui sert de canal principal pour signaler les vulnérabilités.
2. Passez en revue la portée des systèmes couverts par leur programme de primes de bogue, y compris les applications Web, les applications mobiles, les API et les interactions de contrats intelligentes liées au portefeuille Coinbase.
3. Préparez un rapport détaillé qui comprend la nature de la vulnérabilité, les étapes pour la reproduire, les composants affectés et toutes les preuves à l'appui telles que des captures d'écran ou des journaux.
4. Soumettez le rapport via Hackerone, la plate-forme tierce Coinbase utilise pour gérer les divulgations de vulnérabilité et coordonner les réponses avec les chercheurs.
5. S'abstenir de divulgation publique jusqu'à ce que Coinbase confirme que le problème a été résolu pour empêcher l'exploitation par des acteurs malveillants.

Éligibilité et portée des vulnérabilités

Toutes les observations techniques ne sont pas considérées comme une vulnérabilité de sécurité valide. Coinbase maintient des directives claires sur les types de résultats admissibles à la reconnaissance ou aux récompenses dans le cadre de leur programme.

1. Concentrez-vous sur des problèmes à fort impact tels que l'accès non autorisé aux fonds utilisateur, l'exposition aux clés privées, la manipulation des transactions ou le contournement des mécanismes d'authentification.
2. Exclure les résultats de faible sévérité comme les incohérences de l'interface utilisateur, les attaques de spam ou les risques théoriques sans chemins d'exploitation pratiques.
3. Inclure les tests uniquement dans les limites des actifs et services autorisés; Évitez l'ingénierie sociale, les attaques physiques ou les tentatives de déni de service.
4. Assurer que tous les tests adhèrent aux normes juridiques et éthiques - l'exploitation au-delà de la preuve de concept est strictement interdite.
5. Reconnaissez que les vulnérabilités dans les intégrations tierces peuvent être hors de portée, sauf si elles compromettent directement la fonctionnalité principale de Coinbase Wallet.

Récompenses et reconnaissance pour les chercheurs

Coinbase exploite un programme de primes de bogues qui incite les pirates éthiques et les professionnels de la sécurité à contribuer à la sécurité des plateformes.

1. Les récompenses varient en fonction de la gravité, allant de centaines à des dizaines de milliers de dollars pour les défauts critiques.
2. Les paiements sont traités via Hackerone après validation et résolution du problème signalé.
3. Les chercheurs peuvent choisir de rester anonymes ou de recevoir un accusé de réception du public au Temple de la renommée de Coinbase.
4. La communication en temps opportun est maintenue tout au long du processus d'enquête et d'assainissement.
5. Les contributeurs récurrents peuvent obtenir un statut de confiance, permettre un triage plus rapide et une collaboration plus profonde.

Questions fréquemment posées

Et si je déclenche accidentellement un mécanisme de sécurité lors des tests?

Si un comportement involontaire se produit lors des tests autorisés, arrêtez immédiatement d'autres actions et divulguez l'incident de votre rapport. Les erreurs honnêtes faites de bonne foi sont traitées différemment de l'activité malveillante.

Puis-je utiliser des outils automatisés pour rechercher des vulnérabilités?

Les outils de numérisation automatisés ne sont autorisés que s'ils ne génèrent pas un trafic excessif ou un service de perturbation. Tout outil qui pourrait avoir un impact sur la disponibilité ou les performances doit être pré-approuvé.

Combien de temps Coinbase prend-il pour répondre à un rapport?

L'accusé de réception initiale se produit généralement dans les 72 heures. Le calendrier pour la pleine résolution dépend de la complexité, mais les mises à jour sont fournies régulièrement via le portail Hackerone.

L'analyse des transactions blockchain est-elle considérée comme une vulnérabilité valide?

Les observations sur les modèles en chaîne ou les adresses de portefeuille public ne sont généralement pas classées comme des vulnérabilités à moins qu'elles ne révèlent une faille dans la logique ou l'interface du portefeuille Coinbase conduisant à une perte de fonds.