برنامج مكافأة اكتشاف الخلل
تعزم SpectroCoin على ضمان بيئة آمنة لمستخدميها. على الرغم من أن متخصصي تكنولوجيا المعلومات لدينا يبذلون قصارى جهدهم للعثور على كل ثغرة محتملة على منصتنا، إلا أنه هناك دائماً احتمال ضئيل أنه قد تم التغاضي عن البعض منهم. وهكذا، فقد قررنا تقديم برنامج مكافآت اكتشاف الخلل. يمكن لكل مستخدم SpectroCoin المشاركة في البرنامج وكسب المكافآت من خلال الإبلاغ عن الأخطاء التي يجدونها في نظامنا.
المكافئات
لم تحدد SpectroCoin الحد الأقصى للمكافأة على الثغرات التي تم الإبلاغ عنها - يمكن تخصيص مكافآت أعلى اعتماداً على شدة الخطأ المبلغ عنه. نحن نقوم بتوزيع المكافآت وفقاً للإرشادات التالية، وبالرغم من ذلك، يبقى تحديد المبلغ النهائي وفقًا لتقديرنا. يتم دفع مكافآت الأخطاء المؤهلة بالـ Bitcoin أو Ether.
يمكن زيادة مبلغ المكافأة بناءً على:
- جودة الوصف. قد يتم دفع مكافآت أعلى لتقارير مكافأة الأخطاء واضحة ومكتوبة جيداً.
- جودة إثبات المفهوم. قد يتم دفع مكافآت أعلى إذا تم تضمين الـ testing code والـ scripts والتعليمات التفصيلية.
- جودة الإصلاح، إذا كانت مدرجة. قد يتم دفع مكافآت أعلى إذا تم تقديم اقتراحات حول كيفية حل المشكلة.
خلل | مكافأة |
---|---|
حاسم | $4,000 - $15,000 |
عالي | $1,000 - $4,000 |
متوسط | $200 - $1,000 |
منخفض | حتى $200 |
نحن نعطي مكافئة واحدة فقط لكل خلل. إذا تم إرسال تقارير متعددة لنفس المشكلة، فسوف نقدم مكافئات للمرسل لأول فقط ( يرجى مراجعة قسم "كيف يمكن الإبلاغ عن خلل").
لتلقي المكافئة، يجب أن لايكون هناك أي عقبة قانونية للقيام بذلك (على سبيل المثال: لا يجوز لك المشاركة في هذا البرنامج إذا كنت مقيماً أو فردًا موجودًا في بلد يظهر في العقوبات الدولية بما في ذلك على سبيل المثال لا الحصر EC, FATF, US, UN.
في أي حال من الأحوال، فإن SpectroCoin لديها السلطة التقديرية لتحديد نقطة الضعف التي تم الإبلاغ عنها باعتبارها غير مهمة بما في ذلك أهليتها للحصول على المكافأة. عن طريق إرسال تقرير الخلل، فإنك توافق على اتباع القواعد المذكورة أعلاه.
كيفية الإبلاغ عن خطأ
-
يجب أن تتضمن تقارير الأخطاء دليلاً مفصلاً خطوة بخطوة لإثبات المفهموم يسمح لنا بإعادة إنتاج المشكلة وتقييمها. على سبيل المثال، يجب أن تحتوي التقارير المرتبطة بالويب على الأقل:
- طلبات HTTP / الردود مع المعلمات المتأثرة
- لقطات شاشة أو مقاطع فيديو (إذا لزم الأمر)
- وصف المتصفح (النوع)، OS، الجهاز و/أو إصدار التطبيق
- وصف التأثير الملحوظ للضعف
- اقتراحات حول كيفية حل المشكلة (اختياري)
- لا تشارك علناً أي ملفات و/أو تفاصيل متعلقة بالثغرة الأمنية. يتضمن ذلك عمليات التحميل إلى أي مواقع ويب يمكن الوصول إليها بشكل عام (مثل YouTube وImgur وPastebin وما إلى ذلك).
- يرجى تشفير رسالتك وأي مرفقات باستخدام مفتاح PGP العام (المتوفر أدناه).
- قم بتضمين عنوان BTC / ETH الخاص بك للدفع.
- قم بإرسال تقارير نقاط الضعف الخاصة بك إلى [email protected].
إذا لم يتمكن فريق تكنولوجيا المعلومات لدينا من إعادة إنتاج المشكلة والتحقق منها، فلن يتم تخصيص المكافأة.
الأهلية (داخل النطاق)
جميع الخدمات المقدمة من SpectroCoin مؤهلة لبرنامج مكافآت الأخطاء لدينا، بما في ذلك تطبيقات الـ iOS والأندرويد، محفظة SpectroCoin، الـ API، أدوات التاجر، البطاقات وخدمات الصرافة. بشكل عام ، نقاط الضعف التي تنطوي على احتمال الخسارة المالية أو خرق البيانات ، تعتبر شدة كافية، بما في ذلك وليس بالضرورة:
- تزوير عبر الموقع (Cross-Site Request Forgery (CSRF))
- البرمجة عبر الموقع (Cross-Site Scripting (XSS))
- برمجة بالحقن (Code Injection)
- تنفيذ التعليمات البرمجية عن بعد (Remote Code Execution)
- تجاوز الصلاحيات (Privilege Escalation)
- تجاوز التوثيق (Authentication Bypass)
- هجوم في واجهة المستخدم (Clickjacking)
- تسرب البيانات الحساسة. (Leakage of Sensitive Data)
عدم الأهلية (خارج النطاق)
بشكل عام ، لا تصل الثغرات الأمنية التالية إلى حد الخطورة:
- عدم وجود DNSSEC
- Host header injections بدون تأثير محدد يمكن إثباته
- Flash based exploits
- CSRF في النماذج التي لا تتطلب مصادقة أو إجراءات غير حساسة
- Clickjacking على الصفحات التي لا تحتوي على إجراءات حساسة
- نقاط الضعف التي تتطلب Man-in-the-middle attack (MITM), أو الوصول الفعلي إلى متصفح الويب وحساب البريد الإلكتروني والهاتف الذكي ومشكلات على الأجهزة rooted/jailbroken devices
الكشف المسؤول
يتضمن الإفصاح المسؤول، على سبيل المثال لا الحصر:
- توفير فترة زمنية معقولة لإصلاح المشكلة قبل نشرها في مكان آخر.
- عدم انتهاك خصوصية المستخدمين الأخرين، تدمير أي معلومات أو تعطيل خدماتنا، إلخ. (تصرف بحسن نية).
- عدم الاحتيال على مستخدمين SpectroCoin (أنت لا تتفاعل مع حساب فردي، والذي يتضمن تعديل البيانات أو الوصول إليها من الحساب) أو SpectroCoin بحد ذاتها خلال عملية الاكتشاف.
- من أجل الثغرات التي تحتاج الوصول للحساب يجب عليكم استخدام حسابكم الخاص.
- إذا قمت بالوصول دون قصد إلى البيانات الخاصة، فنحن نطالبك بحذف جميع المعلومات ذات الصلة - بما في ذلك على سبيل المثال لا الحصر رموز الوصول، المعلومات الخاصة، إلخ. بعد إعلامنا.
- إذا تمكنت، في حالة وجود خطأ، من الوصول إلى و / أو نقل الأموال من SpectroCoin ، فأنت تلتزم بإعادة كامل المبلغ إلى SpectroCoin.