برنامج
مكافأة اكتشاف الخلل

تدرك SpectroCoin أهمية الأمان والحفاظ على مستخدمينا آمنين. على الرغم من أن فريق تكنولوجيا المعلومات لدينا قد اتخذ جميع الاحتياطات لإيجاد الأخطاء المحتملة في نظامنا، فلا يزال هناك دائماً احتمال ضئيل أنه قد تم التغاضي عن البعض منهم. نحن في SpectroCoin نؤمن بأن العمل جنباً إلى جنب مع مجتمعنا يمكن أن يحقق أفضل النتائج لكلا الطرفين. تقوم SpectroCoin بإطلاق برنامج مكافأة اكتشاف الخلل والذي يحق لك بموجبه الحصول على مكافأة إذا أبلغت عن خطأ مؤهل.
مصافحة

الكشف المسؤول

يتضمن الإفصاح المسؤول، على سبيل المثال لا الحصر:
  • 1. توفير فترة زمنية معقولة لإصلاح المشكلة قبل نشرها في مكان آخر.
  • 2. عدم انتهاك خصوصية المستخدمين الأخرين، تدمير أي معلومات أو تعطيل خدماتنا، إلخ. (تصرف بحسن نية).
  • 3. عدم الاحتيال على مستخدمين SpectroCoin (أنت لا تتفاعل مع حساب فردي، والذي يتضمن تعديل البيانات أو الوصول إليها من الحساب) أو SpectroCoin بحد ذاتها خلال عملية الاكتشاف.
  • 4. من أجل الثغرات التي تحتاج الوصول للحساب يجب عليكم استخدام حسابكم الخاص.
  • 5. إذا قمت بالوصول دون قصد إلى البيانات الخاصة، فنحن نطالبك بحذف جميع المعلومات ذات الصلة - بما في ذلك على سبيل المثال لا الحصر رموز الوصول، المعلومات الخاصة، إلخ. بعد إعلامنا.
  • 6. إذا تمكنت، في حالة وجود خطأ، من الوصول إلى و / أو نقل الأموال من SpectroCoin ، فأنت تلتزم بإعادة كامل المبلغ إلى SpectroCoin.
* لتجشيع الكشف المسؤول، فلن نتخذ أي إجراءاً قانونياً ضد الباحثين الذين يشيرون إلى وجود مشكلة بشرط أن يبذلوا قصارى جهدهم لمتابعة الإرشادات المذكورة أعلاه.

المكافئات

الحد الأدنى لمكافأة الخلل المؤهل هو ما يعادل 100 دولار أمريكي بالبيتكوين أو الإيثيريوم. قد يتم تخصيص مكافآت أعلى، اعتماداً على شدة نقاط الضعف التي تم الإبلاغ عنها. دليل خطوة بخطوة ( أو برنامج نصي للثغرة) هو أكثر من موضع ترحيب. نحن نستخدم الجدول التالي كدليل. يبقى تحديد المبلغ النهائي حسب تقديرنا:
  • الخلل
    المكافأة
  • تنفيذ التعليمات البرمجية عن بعد
    حتى $10,000
  • تلاعب كبير في رصيد الحساب
    حتى $5000
  • XSS / CSRF / هجوم في واجهة المستخدم الذي يؤثر على الإجراءات الحساسة [1]
    حتى $3,500
  • سرقة المعلومات المميزة [2]
    حتى $2,500
  • تجاوز المصادقة الجزئي
    حتى $1,500
  • الـ XSS الأخرى (باستثناء الـ Self-XSS)
    حتى $500
  • ثغرة أخرى مع احتمال واضح للخسارة المالية أو البيانات
    حتى $500
  • الـ CSRF الأخرى (باستثناء logout CSRF)
    حتى $100
الاجراءات الحساسة تتضمن: الإيداع ،التداول، أو إرسال المال; OAuth أو اجراءات الـ API الرئيسية [1].
المعلومات المميزة تتضمن: كلمات المرور، مفاتيح الـ API، أرقام الحسابات المصرفية، أرقام الضمان الاجتماعي أو ما يعادلها. [2]
يتم اعتبار فقط نقاط الضعف غير المعروفة وغير المبلّغ عنها سابقًا مؤهلة للمكافآت.
نحن نعطي مكافئة واحدة فقط لكل خلل. إذا تم إرسال تقارير متعددة لنفس المشكلة، فسوف نقدم مكافئات للمرسل لأول فقط ( يرجى مراجعة قسم "كيف يمكن الإبلاغ عن خلل").
لتلقي المكافئة، يجب أن لايكون هناك أي عقبة قانونية للقيام بذلك (على سبيل المثال: لا يجوز لك المشاركة في هذا البرنامج إذا كنت مقيماً أو فردًا موجودًا في بلد يظهر في العقوبات الدولية بما في ذلك على سبيل المثال لا الحصر EC, FATF, US, UN.
* في أي حال من الأحوال، فإن SpectroCoin لديها السلطة التقديرية لتحديد نقطة الضعف التي تم الإبلاغ عنها باعتبارها غير مهمة بما في ذلك أهليتها للحصول على المكافأة. عن طريق إرسال تقرير الخلل، فإنك توافق على اتباع القواعد المذكورة أعلاه. شكراً لك على الحفاظ على SpectroCoin ومستخدمينا آمنين!

كيفية الإبلاغ عن خطأ

قم بإرسال تقريرك إلى [email protected]. مطلوب إثبات وجود للثغرة الموجودة (لقطات للشاشة/ فيديو/ نص). يجب عدم مشاركة هذه الملفات علنًا. وهذا يشمل التحميل إلى أي مواقع إلكترونية يمكن الوصول إليها بشكل عام (على سبيل المثال YouTube، Imgur إلخ)

يجب تقديم خطوات الاستنساخ في تقرير الأخطاء بما في ذلك:
  • - عنوان URL والمعلمات المتأثرة
  • - وصف المتصفح (النوع)، أو نظام التشغيل، أو الجهاز، و/أو إصدار التطبيق
  • - وصف التأثير المدرك للثغرة الأمنية
  • - اقتراحات حول كيفية حل المشكلة (اختياري).
الإبلاغ عن خلل
* إذا لم يتمكن فريق تكنولوجيا المعلومات لدينا من إعادة إنتاج المشكلة والتحقق منها، فلن يتم تخصيص المكافأة.
* قم بتضمين عنوان BTC / ETH الخاص بك للدفع.
أيقونة البريد

الأهلية (داخل النطاق)

جميع الخدمات المقدمة من SpectroCoin مؤهلة لبرنامج مكافآت الأخطاء لدينا، بما في ذلك تطبيقات الـ iOS والأندرويد، محفظة SpectroCoin، الـ API، أدوات التاجر، البطاقات وخدمات الصرافة.
بشكل عام ، نقاط الضعف التي تنطوي على احتمال الخسارة المالية أو خرق البيانات ، تعتبر شدة كافية، بما في ذلك وليس بالضرورة:
  • - تزوير عبر الموقع (Cross-Site Request Forgery (CSRF))
  • - البرمجة عبر الموقع (Cross-Site Scripting (XSS))
  • - برمجة بالحقن (Code Injection)
  • - تنفيذ التعليمات البرمجية عن بعد (Remote Code Execution)
  • - تجاوز الصلاحيات (Privilege Escalation)
  • - تجاوز التوثيق (Authentication Bypass)
  • - هجوم في واجهة المستخدم (Clickjacking)
  • - تسرب البيانات الحساسة. (Leakage of Sensitive Data)

عدم الأهلية (خارج النطاق)

بشكل عام، لن تستوفي الثغرات الأمنية التالية حد الخطورة:
  • - نقاط الضعف في المواقع التي تستضيفها أطراف ثالثة ما لم تؤد إلى ضعف في الموقع الرئيسي (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - متطلبات تعقيد كلمة المرور (Password complexity requirements)
  • - الهجمة الذاتية-إكس-أس-أس (Self-XSS)
  • - الحرمان من الخدمة (DoS) (Denial of service (DoS))
  • - البريد الإلكتروني الغير المرغوب (Spamming)
  • - قضايا قابلية الاستخدام (Usability issues)
  • - نقاط الضعف التي تؤثر على المتصفحات الغير محدثة أو غير مثبتة (Vulnerabilities affecting outdated or unpatched browsers)
  • - نقاط الضعف في تطبيقات الطرف الثالث التي تستخدم SpectroCoin API "واجهة برمجة التطبيقات" (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - تقارير من الأدوات الآلية أو المسح ، دون مظاهرة الاستغلال (Reports from automated tools or scans, without exploitability demonstration)
  • - الهجمات غير تقنية ، مثل الهجوم الجسدي ، الهندسة الاجتماعية ، التصيّد الاحتيالي ، وما إلى ذلك (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - الأخطاء التي تم الإبلاغ عنها من قبل (Bugs that have been already reported before)
  • - الأخطاء المعروفة لنا (Bugs known to us)
  • - مشاكل غير قابلة للتكرار (Non-reproducible issues)

ساعد في الحفاظ على SpectroCoin ومستخدمينا آمنين

الإبلاغ عن خلل