NiceHashは、責任ある開示という形で、NiceHashプラットフォームのセキュリティを向上させるためのユーザーの手助けを歓迎しています。

責任ある調査・開示とは

• 以下のスコープ内の項目とURLのみを対象とする。
• 他のユーザーのプライバシーを侵害したり、他のユーザーを標的としたり、データを破壊したり、サービスに支障をきたすようなことをしない。
• バグ調査においては、自分のアカウントだけをターゲットとする。
• DDOS攻撃、スパム、ソーシャルエンジニアリングは行わない。
• バグ報告はNiceHashに対してのみ行い、他へは報告しない。

セキュリティテストの実行リスクを最小限に抑え、資産を失うリスクや手数料を支払うことなく金融取引をテストするために、NiceHashの公開テスト環境：https://test.nicehash.comを利用して暗号通貨のテスト送金や取引ができます。

スコープとは

• NiceHashウェブクライアント：www.nicehash.com、test.nicehash.com
• NiceHashモバイルクライアント：App Store、Google Playで公開されているアプリ
• NiceHash APIインターフェイス：api2.nicehash.com、api-test.nicehash.comで利用可能なもの

バグ報告方法

メールでお知らせ下さい：security@nicehash.com

報告には、当社が調査結果を再現し、報告された脆弱性の存在を確認できるPoCシナリオを記載する必要があります。

報奨対象

一般的に対象となるセキュリティ上の問題には、必ずしもすべてのケースで当てはまるわけではありませんが、以下のようなものがあります。

• 不正なデータアクセスやデータ操作
• クロスサイトリクエストフォージェリ (CSRF)
• クロスサイトスクリプティング (XSS)
• コードインジェクション
• リモートコードエグゼキューション
• ローカル・リモートファイルインクルード
• 権限の昇格
• 認証・認可の回避
• クリックジャック
• 機密情報の漏洩

報酬の対象となるには、報告された脆弱性が、当社やユーザーのセキュリティまたはプライバシーに対して実際に深刻なリスクをもたらしていることを、分析から確認される必要があります。

例えば、攻撃者がユーザーのウォレットからビットコインを盗むことができる脆弱性が報告され確認された場合、高リスクと見なされ報酬が与えられます。反対に言うと、NiceHashユーザーまたはプラットフォームに対して使用できるという証明なしには、業界標準に準拠していないことが判明したとしても、報酬は与えられません。

報告された内容については、報告されたシナリオを用いて脆弱性を確認し、脆弱性悪用の危険性と結果を考慮して、当社の評価手法に基づきリスクを評価します。

報酬はどのように算出され、支払われるか

報酬はNiceHashの社内規定に従って算出されます。個別交渉の余地はありません。

報酬はバグごとに支払われます。つまり、最初の報告者にのみ支払われます。

報酬は、責任ある調査・開示に必要なすべてのステップを踏んだ場合にのみ支払われます。

報酬はビットコイン (BTC) で支払われるため、BTCウォレットが必要です。まだお持ちでない方は、NiceHashプラットフォーム上のウォレットをご利用ください。