باگ بانتی؛ دعوت نوبیتکس از متخصصان امنیت

نوبیتکس حفظ امنیت اطلاعات و دارایی کاربران را مهم‌ترین مسئولیت خود دانسته و یکی از اقداماتی که برای انجام این مسئولیت انجام داده اجرای برنامه باگ بانتی بوده است. البته این برنامه در کنار اقدامات دیگری مثل پایش و بهبود مستمر زیرساخت‌های امنیتی، قرار می‌گیرد تا امنیت کاربران نوبیتکس حفظ و تقویت شود.

در برنامه باگ بانتی نوبیتکس، که از آبان ۱۴۰۲ آغاز شده از متخصصان دعوت می‌شود که با ارسال گزارش‌های آسیب‌پذیری‌‌ به صفحه باگ بانتی نوبیتکس، مشکلات موجود در این حوزه را برطرف کرده و به این تربیت، امنیت اطلاعات و دارایی کاربران نوبیتکس حفظ شود.

به گزارش روابط عمومی نوبیتکس، در مدتی که از اجرای رسمی طرح باگ بانتی این صرافی ارز دیجیتال می‌گذرد، یعنی از آبان ۱۴۰۲، ۲۵۰ میلیون تومان برای اطلاع‌رسانی درباره باگ‌های این پلتفرم به گزارش‌دهندگان پرداخت شده است.

پروتکل باگ بانتی نوبیتکس در حدود یک سال و نیمی که از اجرای این طرح می‌گذرد، ۱۰۰ گزارش از سوی متخصصان دریافت کرده است که از این تعداد، ۳۰ گزارش تایید شده است.

طبق آمار منتشرشده از سوی نوبیتکس، در میان گزارش‌های ارسال‌شده از سوی متخصصان، ۱۸ گزارش مربوط به دامنه‌ی نوبیتکس است.پنل‌های بیزنسی هم آسیب‌پذیری‌هایی داشته و ۸ گزارش از آن‌ها دریافت شده است. ۴ گزارش ارائه‌شده از سوی متخصصان نیز به *.nobitex.ir مربوط می‌شود.

نوبیتکس در طرح باگ بانتی خود سعی دارد جوایز را متناسب با سطوح مختلف آسیب‌پذیری طراحی کرده و همچنین، فضایی شفاف برای متخصصان این حوزه که اقدام به کشف و گزارش باگ‌ها می‌کنند، فراهم کند. 

در میان انواع سطوح آسیب‌پذیری بالاترین سطح برای آسیب‌پذیری‌های حیاتی در نظر گرفته شده و با توجه به اهمیت این نوع از باگ‌ها جوایزی هم که به گزارش‌دهندگان اهدا می‌شود بیش از ۵۰۰ میلیون تومان در نظر گرفته شده است.

در سطح بعدی آسیب‌پذیری‌های بحرانی، بالا، آسیب‌پذیری‌های متوسط و آسیب‌پذیری‌های پایین قرار دارند که جوایز آن‌ها از حداکثر ۳۵۰ میلیون تومان تا حداکثر ۳ میلیون تومان برای سطوح مختلف تعریف شده است.

از میان ۳۰ گزارش آسیب‌پذیری که به دست نوبیتکس رسیده و تایید هم شده است، همگی در سطوح غیربحرانی بوده‌اند. نوبیتکس برای همه این گزارش‌های تاییدشده در مجموع، مبلغی معادل ۲۵۰ میلیون تومان به ایشان پرداخت کرده است.

گزارش آسیب‌پذیری‌های دامنه‌های nobitex.ir ، api.nobitex.ir ، *.nobitex.ir و پنل‌های بیزنسی در حال حاضر شامل جوایز باگ بانتی نوبیتکس می‌شوند اما به آسیب‌پذیری‌های مربوط به nobitex.ir\mag و nobitex.ir\academy بانتی تعلق نمی‌گیرد.

این صرافی ارز دیجیتال جزئیات بیشتر و همه قوانین مربوط به پروتکل باگ بانتی خود را در صفحه nobitex.ir/bugbounty توضیح داده و در اختیار متخصصان قرار داده است.