باگ‌بانتی آبان‌تتر: باگ امنیتی گزارش کن، تا ۴۰۰۰ تتر جایزه بگیر

در دنیای خدمات مالی دیجیتال، امنیت تنها یک ویژگی فنی نیست؛ شرط اصلی اعتماد کاربران است. آبان‌تتر این موضوع را جدی گرفته و برنامه Bug Bounty خود را در دسترس پژوهشگران و محققان امنیت قرار داده است تا با همکاری جمعی، سطح محافظت از دارایی و اطلاعات کاربران را همیشه در بهترین وضعیت نگه دارد.

این برنامه ساده است ولی اثرگذار: اگر پژوهشگر امنیتی بتواند یک آسیب‌پذیری واقعی و قابل سوءاستفاده در سرویس‌های آبان‌تتر پیدا کند و آن را با راهنمای بازتولید (PoC) مستند کند، می‌تواند پاداش نقدی تا سقف ۴۰۰۰ تتر دریافت کند (اطلاعات دقیق و کامل باگ بانتی آبان‌تتر). هدف آبان‌تتر از این طرح کاملاً روشن است: استفاده از هوش جمعی برای کشف نقاط ضعف پیش از آنکه مهاجمان از آن‌ها سوءاستفاده کنند.

آبان‌تتر تمام تمهیدات امنیتی را برای حفاظت از دارایی کاربران به‌کار گرفته و یک صندوق بیمه دارایی نیز برا جبران خسارت‌های احتمالی مشتریان دارد. با این حال همواره مسیر بهبود امنیت باز است و می‌توان در آن بهتر و بهتر شد.

پلتفرم‌های مالی آنلاین به‌صورت روزانه با حجم بالایی از تراکنش‌ها و اطلاعات حساس کاربران سروکار دارند. حتی یک آسیب‌پذیری کوچک در منطق پرداخت یا احراز هویت می‌تواند پیامدهای جدی مالی و اعتباری داشته باشد. به همین دلیل آبان‌تتر ترجیح می‌دهد مسیر محافظتی را با همکاری جامعه امنیت طی کند: پژوهشگران بیرونی ابزارهای متفاوت، تجربه‌ها و زاویه‌دیدهای جدیدی دارند که به تیم فنی کمک می‌کند ضعف‌ها را کامل‌تر و سریع‌تر کشف کند.

آبان‌تتر روی گزارش‌هایی که اثر واقعی بر امنیت کاربران یا دارایی‌ها داشته باشند تمرکز می‌کند. از جمله نمونه‌هایی که بیشترین توجه را به خود جلب می‌کنند می‌توان به موارد زیر اشاره کرد:

• اجرای کد از راه دور (RCE)
• نشت یا دسترسی غیرمجاز به کیف پول‌ها
• تسلط بر حساب کاربری دیگران (Account Takeover)
• آسیب‌پذیری‌های منطقی در فرایندهای مالی (مثل Race Condition یا Double Spending)
• نشت کلیدها یا اطلاعات حساس
• و…

واضح است که گزارش‌های سطحی یا خروجی خام اسکنر بدون PoC قابلیت پذیرش ندارند. کیفیت گزارش و قابلیت بازتولید آن شرط اصلی پرداخت پاداش است.

برای افزایش دقت و سرعت بررسی، محدوده مشخصی برای گزارش‌ها تعیین شده است و تنها موارد در این دامنه بررسی و پاداش داده می‌شوند:

• abantether.com
• api.abantether.com
• mono.abantether.com

پاداش‌ها بر اساس شدت آسیب‌پذیری طبق استاندارد CVSS تعیین می‌شوند و پرداخت‌ها به‌صورت مستقیم به حساب آبان‌تتر گزارش‌دهنده واریز می‌شوند؛ امکان برداشت ریالی یا ارزی فراهم است. تیم امنیت آبان‌تتر گزارش‌ها را بررسی می‌کند و در صورت نیاز با گزارش‌دهنده برای کسب جزئیات بیشتر همکاری می‌کند؛ هدف نهایی، رفع سریع و شفاف آسیب‌پذیری‌هاست.

اگر باگ قابل‌تأییدی پیدا کردید، گزارش را همراه با PoC، مراحل بازتولید و برآورد کوتاهی از میزان تأثیر ارسال کنید تا بررسی شود.

آبان‌تتر معتقد است امنیت یک مسئولیت جمعی است. این برنامه فرصت خوبی است برای پژوهشگران امنیتی که می‌خواهند مهارت‌هایشان را در محیط واقعی محک بزنند، به ارتقای امنیت کمک کنند و در کنار آن پاداش دریافت کنند. اگر در حوزه امنیت فعال هستید یا تیمی دارید که به کشف آسیب‌پذیری‌ها علاقه‌مند است، این یک مسیر مستقیم برای همکاری سازنده با یک پلتفرم مالی است. مساله امنیت اولویت آبان‌تتر است؛ همکاری با جامعه پژوهشگران و متخصصان امنیت باعث می‌شود تهدیدها را سریع‌تر شناسایی و رفع کنیم تا کاربران با خیالی آسوده‌تر از خدمات استفاده کنند.

جزئیات کامل و دقیق باگ بانتی آبان‌تتر