Elige una opción:
Idioma:

Divulgación Responsable

Coinomi valora el trabajo realizado por los investigadores de seguridad para mejorar la seguridad de nuestros productos y ofertas de servicios. Estamos comprometidos a trabajar con la comunidad para verificar, reproducir y responder a las vulnerabilidades legítimas reportadas. Alentamos a la comunidad a participar en nuestro proceso de divulgación responsable.

Si eres un investigador de seguridad y deseas reportar una vulnerabilidad, envía un correo electrónico a: security@coinomi.com Por favor, proporciona tu nombre, información de contacto y nombre de la empresa (si corresponde) con cada informe. Se dará prioridad a los informes encriptados; incluye tu clave pública PGP junto con el informe.

Descargar la clave PGP de Coinomi

Pautas de Divulgación Responsable

Investigaremos los informes legítimos y haremos todo lo posible para corregir rápidamente cualquier vulnerabilidad confirmada. Para fomentar la notificación responsable, nos comprometemos a no emprender acciones legales en tu contra ni a solicitar a las fuerzas del orden que te investiguen si cumples con las siguientes pautas de Divulgación Responsable:

  1. Proporciona detalles de la vulnerabilidad, incluida la información necesaria para reproducir y validar la vulnerabilidad y una Prueba de Concepto (POC).
  2. Realiza un esfuerzo de buena fe para evitar violaciones de privacidad, destrucción de datos e interrupción o degradación de nuestros servicios.
  3. No modifiques ni accedas a datos que no te pertenezcan.
  4. Danos un tiempo razonable para corregir el problema antes de hacer pública cualquier información.
  5. Solo aceptamos informes de servicios proporcionados exclusivamente por Coinomi y no por terceros.

Haremos todo lo posible para responder a tu divulgación dentro de 1-2 días hábiles.

Las divulgaciones que no cumplan plenamente con las pautas anteriores no serán elegibles para recompensas ni para ninguna de las garantías que se comentan en ellas.

Aplicaciones

Estamos principalmente interesados en vulnerabilidades que eventualmente permitan a los atacantes comprometer las billeteras y/o los activos criptográficos de las aplicaciones de Coinomi.

Estas vulnerabilidades están dentro del alcance:

  1. Omisión del PIN o biometría, excluyendo la funcionalidad proporcionada de forma nativa por el sistema operativo
  2. Omisión de la confirmación del usuario para firmar una transacción
  3. Fugas de datos sensibles a través del acceso a la memoria, tráfico de red, almacenamiento de dispositivos locales, etc.
  4. Árbol de dependencias, también conocido como ataques a la cadena de suministro
  5. Vulnerabilidades criptográficas relacionadas con la derivación BIP-39/32/44 y las curvas elípticas

Estas vulnerabilidades están fuera del alcance:

  1. Tokens de servicio de Firebase sin encriptar.
Sitios web

Estamos interesados en vulnerabilidades críticas en nuestra infraestructura, incluyendo front-end y back-end.

Estas vulnerabilidades están fuera del alcance:

  1. Presencia/ausencia de registros SPF/DMARC.
  2. Falta de tokens CSRF.
  3. Problemas de Clickjacking y tabnabbing.
  4. Faltan encabezados de seguridad que no conduzcan directamente a una vulnerabilidad.
  5. Faltan las mejores prácticas (requerimos evidencia de una vulnerabilidad de seguridad).
  6. Informes de herramientas o escaneos automatizados.
  7. Informes de cifrados SSL/TLS inseguros (a menos que tengas una prueba de concepto funcional, y no solo un informe de un escáner).
  8. Ausencia de limitación de velocidad.
  9. Software obsoleto sin ninguna vulnerabilidad notable.
  10. Enlaces rotos.
  11. Vulnerabilidades en servicios de terceros, por ejemplo, Zendesk, Twitter, etc. (infórmales directamente a ellos)