Sicurezza

Bug Bounty Program

La sicurezza dei nostri clienti istituzionali è la nostra priorità assoluta. Collaboriamo con ricercatori di sicurezza di tutto il mondo per identificare e risolvere vulnerabilità prima che possano essere sfruttate.

Ricompense fino a €25.000
|
Risposta entro 48 ore
Come Funziona

Processo di Segnalazione

STEP 1

Scoperta

Identifichi una potenziale vulnerabilità di sicurezza nei nostri sistemi.

STEP 2

Segnalazione

Invii un report dettagliato al nostro team di sicurezza via email.

STEP 3

Valutazione

Il nostro team analizza e classifica la vulnerabilità entro 48 ore.

STEP 4

Ricompensa

Ricevi la ricompensa in base alla severità della vulnerabilità confermata.

Ricompense

Livelli di Severità

Critico

Vulnerabilità che consentono l'accesso non autorizzato ai fondi degli utenti, esecuzione remota di codice, o compromissione completa del sistema.

€5.000 – €25.000

Esempi:

  • Accesso non autorizzato ai wallet
  • SQL Injection con accesso ai dati
  • Bypass dell'autenticazione
  • Esecuzione remota di codice (RCE)

Alto

Vulnerabilità che possono portare a significativa perdita di dati, escalation di privilegi, o impatto sostanziale sulla sicurezza della piattaforma.

€2.000 – €5.000

Esempi:

  • Cross-Site Scripting (XSS) persistente
  • Escalation di privilegi
  • Bypass delle verifiche KYC
  • IDOR con accesso a dati sensibili

Medio

Vulnerabilità con impatto moderato sulla sicurezza o sulla privacy degli utenti.

€500 – €2.000

Esempi:

  • Cross-Site Request Forgery (CSRF)
  • XSS riflesso
  • Information disclosure
  • Configurazioni errate di sicurezza

Basso

Vulnerabilità con impatto limitato che richiedono condizioni specifiche per essere sfruttate.

€100 – €500

Esempi:

  • Clickjacking su pagine non sensibili
  • Header di sicurezza mancanti
  • Verbose error messages
  • Minor information leakage

In Scope

  • app.bitchangepro.com (piattaforma principale)
  • API di trading (REST e WebSocket)
  • Applicazioni mobile (iOS e Android)
  • Sistemi di autenticazione e autorizzazione
  • Infrastruttura di custodia e wallet
  • Processi di pagamento e trasferimento fondi

Fuori Scope

  • Attacchi di ingegneria sociale o phishing
  • Attacchi DDoS o di forza bruta
  • Vulnerabilità in software di terze parti non integrato
  • Problemi già noti o in fase di risoluzione
  • Attacchi fisici contro uffici o data center
  • Spam o tecniche di manipolazione SEO
Regole di Partecipazione

Responsible Disclosure

1

Non accedere, modificare o eliminare dati di altri utenti

2

Non eseguire attacchi che degradino le prestazioni del servizio

3

Non divulgare pubblicamente la vulnerabilità prima della risoluzione

4

Fornire report dettagliati con passaggi riproducibili

5

Attendere la conferma prima di divulgare qualsiasi informazione

6

Utilizzare solo account di test creati appositamente

Segnala una Vulnerabilità

Se hai identificato una vulnerabilità di sicurezza, invia un report dettagliato al nostro team. Apprezziamo il tuo contributo alla sicurezza della nostra piattaforma.

[email protected]

Utilizza la crittografia PGP per le comunicazioni sensibili. La nostra chiave pubblica è disponibile su richiesta.