Компания Nym использует многосторонний подход к обеспечению внешней безопасности, включающий постоянное тестирование, программу краудсорсингового раскрытия уязвимостей и регулярные penetration-тесты по методу "белого ящика", проводимые внешними компаниями и нашей внутренней командой безопасности.
Чтобы участвовать, вы должны соблюдать эти рекомендации:
Любая значительная уязвимость, подтвержденная детальным описанием и proof-of-concept, может быть рассмотрена. После подтверждения мы займёмся исправлением, и вы соглашаетесь помочь в тестировании исправлений, если это необходимо.
Мы фиксируем отчеты в течение ~72 часов. Затем мы пытаемся воспроизвести и проверить проблему. Отчёты, которые не воспроизводятся, выходят за рамки программы, дублируют уже существующие или уже рассматривались в предыдущих аудитах Nym, могут быть закрыты без выплаты вознаграждения.
Награды в токенах NYM основаны на степени серьезности. Укажите свой адрес NYM при отправке отчета. Вы несёте ответственность за налоги. Отчеты из стран, находящихся в списке запрещенных стран (например, под санкциями США) не допускаются к программе.
Примерная структура вознаграждений:
Если вы не согласны с оценкой серьезности или отклонением, запросите разъяснения. Мы можем пересмотреть свою оценку с новой информацией. После переоценки решение команды безопасности будет окончательным.
Мы поощряем скоординированное раскрытие информации после исправления ошибки.
Не публикуйте детали в течение 60 дней после нашего подтверждения, если только это не согласовано с нами.
Мы можем уведомить затронутых поставщиков, но не раскроем вашу личность без разрешения.
Мы не будем предпринимать юридических действий против исследователей, действующих добросовестно, соблюдающих данную политику и избегающих причинения неоправданного вреда или доступа к данным.
Мы не можем связывать третьи стороны обязательствами. Если есть сомнения, свяжитесь с нами в первую очередь.
Мы можем поделиться неопознанными данными вашего отчета с затронутыми третьими сторонами, которые обязуются не предъявлять вам исковых требований. Идентификация информации передается только с вашего разрешения.
Добросовестные исследования, которые могут нарушать определённые условия, могут быть освобождены от ответственности в рамках безопасной гавани.
Nym не будет подавать гражданские или уголовные иски против исследователей, которые соблюдают требования. Несоответствие может привести к исключению или, в серьёзных случаях, к юридическим действиям.
Отправляйте их на bugs@nym.com. Если вы не уверены в допустимости конкретных методов, уточните перед тестированием. Предложения по улучшению этой политики приветствуются.
Отправьте ваши находки на bugs@nym.com, желательно зашифровав их нашим PGP-ключом, и приложите четкие, воспроизводимые шаги, а также любой proof-of-concept код или скриншоты.
Вы получите письмо с подтверждением после принятия нами вашего отчета.
Распространённые уязвимости, такие как XSS, CSRF, выполнение кода, SQL-инъекции, SSRF, обход аутентификации и утечки данных, могут учитываться, если соответствуют нашим критериям.
Мы стремимся подтвердить получение в течение примерно 72 часов. После этого мы попытаемся воспроизвести и подтвердить проблему, прежде чем определим, соответствует ли она условиям для получения вознаграждения.
Вознаграждения зависят от серьезности и воздействия уязвимости, обычно с использованием классификации на основе CVSS. Выплаты производятся в токенах NYM, и вам необходимо указать действительный адрес NYM в вашем отчете.
Мы рекомендуем согласованное раскрытие информации после внедрения исправления. Пожалуйста, воздержитесь от публичного распространения деталей в течение как минимум 60 дней после подтверждения, если только мы не согласуем более раннюю дату раскрытия.