Bezpečnost a anti-phishing

Naposledy aktualizováno: duben 2026

Vaše bezpečnost je důležitá. Tato stránka uvádí naše oficiální domény a sociální účty, vysvětluje, jak rozpoznat phishing, a popisuje, jak nahlásit bezpečnostní problémy.

Oficiální domény

CoinKirin působí pouze pod následujícími doménami. Cokoli jiného nejsme my:

• coinkirin.com — Hlavní webová stránka (veřejní uživatelé).
• api.coinkirin.com — Veřejné REST API.
• static.coinkirin.com — Statické prostředky (obrázky, CSS, JS) poskytované prostřednictvím CDN.
• mcp.coinkirin.com — MCP server pro AI agenty.

Nikdy vás nežádáme o přihlášení přes jakoukoli jinou doménu. Pokud URL ve vašem prohlížeči není jedna z výše uvedených, okamžitě zavřete záložku.

Oficiální sociální účty

Naše jediné oficiální kanály jsou uvedeny níže. Účty, které se jinde vydávají za CoinKirin, jsou podvodníci:

• GitHub — https://github.com/coinkirin

Jak identifikovat phishing

Útočníci se mohou vydávat za zaměstnance CoinKirin nebo podobně vypadající domény. Mějte na paměti tato pravidla:

• NIKDY vám nepošleme e-mail s žádostí o vaši seed frázi, soukromé klíče nebo heslo peněženky. Kdokoli to udělá, je podvodník.
• NIKDY vás nebudeme kontaktovat jako první přes Telegram, Discord nebo WhatsApp DM s žádostí o finance, ověření nebo přihlašovací údaje.
• Vždy kontrolujte pravopis domény. Útočníci používají triky jako c0inkirin.com, coinklrin.com nebo coinkirin.co.
• Zkontrolujte SSL certifikát — klikněte na ikonu zámku v prohlížeči. Certifikát musí být vydán pro coinkirin.com.
• Legitimní e-maily od nás přicházejí z adres @coinkirin.com. Před kliknutím vždy najeďte na odkazy.

Hlášení bezpečnostních problémů

Pokud máte podezření na phishing, vydávání se za někoho jiného nebo jste našli zranitelnost, prosím napište na security@coinkirin.com.

Prosím, zahrňte:

• Jasný popis problému nebo podezřelého pokusu o phishing.
• URL, snímky obrazovky, hlavičky e-mailů nebo kroky k reprodukci, pokud je to relevantní.
• Vaše kontaktní údaje (volitelně), abychom mohli navázat.

Bug Bounty

Formální program bug bounty se chystá. Mezitím s vděčností oceňujeme bezpečnostní výzkumníky, kteří dodržují odpovědné zveřejnění — platné nálezy budou uvedeny v naší bezpečnostní síni slávy.

Bezpečnostní hlavičky, které používáme

Každá stránka CoinKirin je poskytována s přísnými bezpečnostními hlavičkami:

• HSTS — Vynucuje spojení pouze HTTPS po dobu nejméně 180 dní, včetně subdomén.
• Content-Security-Policy (CSP) — Striktní Content Security Policy s nonces — blokuje injektované skripty a omezuje zdroje prostředků na naše CDN.
• X-Frame-Options — Odmítá framing pro zabránění clickjackingu.
• X-Content-Type-Options — Zabraňuje sniffingu typu MIME.
• Referrer-Policy — Strict-origin-when-cross-origin — omezuje únik refereru třetím stranám.

Podepisování Android APK

Naše Android aplikace je distribuována přímo jako APK a podepsána stabilním klíčem. Před instalací nebo aktualizací vždy ověřte otisk podepisujícího certifikátu — pokud se otisk liší, APK není pravé.

Otisk podepisujícího certifikátu SHA-256:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

Otisk můžete ověřit pomocí: apksigner verify --print-certs coinkirin-latest.apk. V nainstalované aplikaci otevřete Nastavení → O aplikaci → Podpis pro zobrazení otisku na zařízení.

Politika odpovědného zveřejnění

Dodržujeme koordinované okno zveřejnění 90 dní. Naše závazky vůči výzkumníkům:

• Obdržení vaší zprávy potvrdíme do 5 pracovních dnů.
• Nebudeme podnikat právní kroky proti výzkumníkům jednajícím v dobré víře, kteří dodržují tuto politiku.
• Veřejné zveřejnění je koordinováno s výzkumníkem a obvykle se uskuteční do 90 dnů od počáteční zprávy nebo dříve, jakmile je nasazena oprava.