Безопасность и bug bounty

Безопасность — это часть продукта, а не приложение к нему. На этой странице описано, как архитектурно устроен TMIYC, что открыто для внешнего аудита и как сообщить о найденной уязвимости, чтобы отчёт дошёл до живого человека в течение нескольких часов.

Модель безопасности

Платформа разнесена по границам изоляции. Подписывающие ключи торговой подсистемы живут на выделенной укреплённой VM без входящего доступа из интернета; публичный API общается с ней через взаимно-аутентифицированный внутренний канал. Любое привилегированное действие попадает в append-only журнал аудита, записи которого связаны в хэш-цепочку SHA-256 — любая модификация разрывает цепочку с точки подмены. Бэкапы базы шифруются AES-256-GCM ключом, который хранится в изолированном хранилище. Доступ персонала к продакшену требует MFA на аппаратном ключе (WebAuthn) и протоколируется. Kill-switch одной командой отключает все торговые потоки и ротирует сессионные токены менее чем за 60 секунд. Публичный трафик фронтит Cloudflare WAF с rate-limit и bot management; TLS зафиксирован HSTS preload; все наши ответы несут строгий CSP, X-Frame-Options и Referrer-Policy.

Bug bounty — в скоупе

Любой хост под tmiyc.trade и его поддомены (api, app, forum, docs, status); официальный Android APK из /download; публичный JSON API, описанный на api.tmiyc.trade. Особо интересны: аутентификация, управление сессиями, платёжные потоки, эскалация привилегий и утечка секретов.

Вне скоупа

Социальная инженерия в отношении сотрудников или клиентов, физические атаки, любые формы отказа в обслуживании без демонстрации компрометации конкретного аккаунта или целостности данных, отчёты, сгенерированные автоматическими сканерами без рабочего PoC, уязвимости в сторонних сервисах, которые мы не контролируем (Stripe, Cloudflare, Telegram), self-XSS, отсутствие best-practice заголовков без демонстрируемого влияния и clickjacking на страницах без критичных действий.

Вознаграждения

Выплаты в USD или USDT в течение 14 дней после триажа. Ранг отражает реальное бизнес-воздействие — мы открыто объясним оценку.

• Critical — $1 000–$5 000. RCE, компрометация подписывающей подсистемы, массовый захват аккаунтов, вывод средств (даже на тестовых маршрутах), полный дамп PII.
• High — $500–$1 000. Аутентифицированный IDOR с доступом к чужим данным, stored XSS на authed-поверхностях, обход аутентификации, существенная эскалация привилегий.
• Medium — $100–$500. CSRF на state-changing endpoint'ах, reflected XSS, ограниченное раскрытие данных, значимые логические ошибки.
• Low — $50–$100. Open redirect с демонстрируемым фишинговым потенциалом, мелкие утечки информации, обход rate-limit на некритичных эндпоинтах.

Политика раскрытия

Мы работаем по coordinated disclosure с максимальным окном 90 дней с момента первого валидного отчёта. В течение этого окна мы обязуемся: подтвердить получение в течение 24 часов, провести полный триаж за 72 часа, выпустить фикс или письменный план митигации для critical и high в течение 30 дней. Если проблема закрыта до 90-го дня — публикуем пост-мортем вместе с выбранным репортером форматом упоминания. Отчёты — на security@tmiyc.trade; чувствительные находки, пожалуйста, шифруйте PGP-ключом ниже.

PGP-ключ

Отпечаток: D09C BE8F C19D 3559 EF47 73E6 3441 F359 4FDE 459D. RSA-4096, без срока действия. Скачайте armored-ключ и импортируйте командой `gpg --import security.asc`.

Скачать security.asc