Guides

Guides

Programme de bug bounty Yellow Card

Programme de bug bounty Yellow Card
Programme de bug bounty Yellow Card

Yellow Card

Yellow Card

Critères d'éligibilité

Pour être éligible, vous devez :

  • Accepter et respecter les Règles du programme et les Conditions juridiques énoncées dans cette politique.

  • Être le premier à signaler le problème afin d'être éligible à une prime.

  • Être disponible pour fournir des informations supplémentaires, si nécessaire par notre équipe, pour reproduire et évaluer le problème.

Vous n'êtes pas éligible si vous êtes :

  • Résident ou effectuez votre soumission depuis un pays contre lequel les États-Unis ont émis des sanctions d'exportation ou d'autres restrictions commerciales (par exemple, Cuba, l'Iran, la Corée du Nord, le Soudan et la Syrie).

  • En violation de toute loi ou réglementation nationale, étatique ou locale.

  • Employé par Yellow Card Financial.

  • Un membre de la famille immédiate d'une personne employée par Yellow Card.

Règles du programme

  • Ne pas nuire intentionnellement à l’expérience ou à l’utilité du service pour autrui, y compris par la dégradation des services et les attaques par déni de service.

  • Ne pas tenter de consulter, modifier ou endommager des données appartenant à autrui.

  • Ne pas divulguer la vulnérabilité signalée à des tiers sans notre autorisation explicite.

  • Ne pas tenter d’accéder au compte ou aux données d’un autre client.

  • Ne pas tenter d’attaques non techniques, y compris toute forme d’ingénierie sociale.

Lorsque des méthodes non conformes à votre législation locale et/ou aux règles du programme susmentionné sont utilisées, les autorités chargées de l'application de la loi en seront avisées.

Lorsque des méthodes non conformes à votre législation locale et/ou aux règles du programme susmentionné sont utilisées, les autorités chargées de l'application de la loi en seront avisées.

Cibles éligibles

Portail du Trésor

Les tests sont limités uniquement à la surface non authentifiée (par exemple, la page de connexion, le flux de réinitialisation du mot de passe, les points de terminaison HTTP publics et la configuration TLS/en-têtes). Les chercheurs doivent s'arrêter immédiatement et signaler s'ils obtiennent ou tombent sur des données de session authentifiée ou de compte professionnel.

Ce qui nous intéresse

  • Expositions majeures concernant les fuites de données clients

  • Problèmes qui entraînent ou conduisent à la compromission totale d'un système 

  • Contournement de la logique métier entraînant ou conduisant à un impact financier ou réputationnel significatif

  • Contournement des contrôles d'authentification et d'autorisation
    Défaillance opérationnelle majeure (à l'exclusion des soumissions liées au déni de service)

Exclusions

Les vulnérabilités suivantes ne sont pas éligibles pour une prime :

  • Problèmes déjà connus de nous ou précédemment signalés par des tiers

  • Problèmes que nous avons déterminés comme présentant un risque acceptable

  • Rapports résultant d'un balayage automatisé

  • Attaques reposant sur l'ingénierie sociale d'employés, de fournisseurs ou de clients

  • Attaques par déni de service au niveau du réseau

  • Attaques par déni de portefeuille

  • Déni de service applicatif par verrouillage des comptes d'utilisateurs

  • Attaques par force brute sur nos pages d'inscription, de connexion ou de mot de passe oublié

  • Politiques d'application pour la force brute, la limitation du débit ou le verrouillage de compte

  • En-têtes de sécurité HTTP manquants

  • Problèmes liés aux cookies

  • Problèmes liés au protocole SSL

  • Attaques SSL telles que BEAST, BREACH, attaque par renégociation.

  • Clickjacking, sans détails supplémentaires démontrant une exploitation spécifique.

  • Problèmes de configuration de messagerie, y compris les paramètres SPF, DKIM, DMARC.

  • Utilisation d'une bibliothèque connue comme vulnérable

  • Vulnérabilités dans des applications tierces qui n'affectent pas directement nos données ou nos services

  • Vulnérabilités principalement causées par des défauts de navigateur/plugin et non représentatives de défauts de sécurité de la plateforme de Yellow Card Financial

  • Navigateurs et plugins obsolètes

  • Messages d'erreur descriptifs ou en-têtes (par exemple, traces de pile, capture de bannières)

  • Divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt)

  • Cookies dépourvus de paramètres HTTP Only ou Secure pour les données non sensibles 

Les soumissions contenant des problèmes liés à la liste d'exclusions ci-dessus ne seront pas éligibles à une récompense.

Signalement de vulnérabilités

Une fois votre rapport prêt, veuillez l'envoyer par e-mail à l'adresse bugbounty@yellowcard.io

Reproductibilité

Assurez-vous que votre rapport est rédigé de manière claire et qu'il contient toutes les informations nécessaires pour que nous puissions rapidement évaluer et reproduire la faille.

Veuillez inclure :

  • Votre nom et vos coordonnées

  • La date et l'heure de la découverte

  • L'URL, le cas échéant

  • Le type et la description de la vulnérabilité

  • Les instructions étape par étape pour reproduire le problème, y compris toute preuve de concept ou code d'exploitation permettant de le reproduire

  • Des captures d'écran et/ou des vidéos illustrant la vulnérabilité

Les rapports légitimes feront l'objet d'un accusé de réception par e-mail. Nous ferons tout notre possible pour évaluer rapidement chaque rapport afin de déterminer le risque global et d'éliminer la cause profonde lorsque cela est jugé nécessaire.

Récompenses

Nos récompenses sont flexibles, sans montants minimaux ou maximaux définis, et sont ultimement basées sur la gravité de la vulnérabilité identifiée, classée comme suit :

Niveau 0

Information

Niveau 1

Faible

Niveau 2

Moyen

Niveau 3

Élevé

Niveau 4

Critique


Gardez à l'esprit :

  • Une seule prime sera attribuée par vulnérabilité (y compris pour les vulnérabilités en chaîne)

  • En cas de rapports multiples pour la même vulnérabilité, seule la personne ayant soumis le premier rapport clair nous permettant de reproduire la vulnérabilité recevra une récompense. 

  • En cas de non-respect des directives du programme, Yellow Card se réserve le droit de refuser les demandes de prime des participants sans avoir à fournir d'informations supplémentaires. 

Confidentialité

Toute information que vous recevez ou collectez dans le cadre du programme de Bug Bounty doit rester confidentielle et être uniquement utilisée en relation avec ce programme.

Vous ne pouvez pas utiliser, divulguer ou distribuer ces informations confidentielles, y compris, mais sans s'y limiter, toute information concernant votre soumission et toute information que vous obtenez lors de vos recherches sur l'une des applications professionnelles de Yellow Card, qu'elle soit ou non dans le cadre du programme, sans le consentement écrit préalable de Yellow Card.


Sphère de sécurité (Safe Harbour)

Yellow Card Financial soutient la recherche en sécurité menée de bonne foi. Si vous effectuez des recherches en sécurité conformément à cette politique, nous n'engagerons pas de poursuites judiciaires à votre encontre. Cette sphère de sécurité ne s'applique pas aux activités menées en dehors du cadre défini, ni aux chercheurs qui violent l'une des règles du programme.


Violation des conditions

En participant au programme de bug bounty de Yellow Card Financial, vous acceptez cette politique.

Yellow Card Financial se réserve le droit d'engager des poursuites judiciaires contre la personne ayant violé les règles. Cette personne sera également bannie de toute participation future au programme de bug bounty de Yellow Card.

Notre bulletin d'information trimestriel

Inscrivez-vous à notre newsletter trimestrielle

Pas encore abonné ? Inscrivez-vous pour rester informé des dernières mises à jour sur les stablecoins et d'autres actifs numériques, où que vous soyez.

Notre bulletin d'information trimestriel

Inscrivez-vous à notre newsletter trimestrielle

Pas encore abonné ? Inscrivez-vous pour rester informé des dernières mises à jour sur les stablecoins et d'autres actifs numériques, où que vous soyez.

Notre bulletin d'information trimestriel

Inscrivez-vous à notre newsletter trimestrielle

Pas encore abonné ? Inscrivez-vous pour rester informé des dernières mises à jour sur les stablecoins et d'autres actifs numériques, où que vous soyez.