Programa de reporte de bugs

SpectroCoin está decidido a garantizar un entorno seguro para sus usuarios. Aunque nuestros especialistas en TI trabajan constantemente para encontrar todas las vulnerabilidades posibles en nuestra plataforma, siempre existe una pequeña posibilidad de que algunas de ellas persistan. Por lo tanto, decidimos introducir un programa de recompensas por errores (bugs). Todos los usuarios de SpectroCoin pueden participar en el programa y ganar recompensas informando los errores que encuentren en nuestro sistema.

Recompensas

SpectroCoin no establece una recompensa máxima por las vulnerabilidades reportadas; se pueden asignar recompensas más altas según la gravedad de un error informado. Distribuimos las recompensas de acuerdo con las siguientes pautas, sin embargo, la determinación del monto final queda a nuestra discreción. Las recompensas por errores elegibles se pagan en Bitcoin o Ether.

La recompensa podría aumentar en función de:

  • La calidad de la descripción. Recompensas más altas podrían ser concedidas para informes claros y extensos.
  • La calidad de la prueba de concepto. Recompensas más altas podrían ser concedidas si el informe de error incluye scripts, código de prueba e instrucciones detalladas.
  • La calidad de la corrección, en el caso de ser incluida. Recompensas más altas podrían ser concedidas en caso de aportar sugerencias para solucionar el problema.
Insecto azulBug
Recompensa
Crítico$4,000 - $15,000
Alto$1,000 - $4,000
Medio$200 - $1,000
Bajohasta $200
Solamente las vulnerabilidades desconocidas y no informadas previamente se considerarán para recibir recompensa.
Solamente será concedida una recompensa por error (bug). Si se envían varios informes por la misma vulnerabilidad, únicamente será recompensado el primer informante.
Para recibir una recompensa, no debe haber ningún impedimento legal para hacerlo (por ejemplo, no puede participar en este programa si es un residente o una persona ubicada dentro de un país sujeto a sanciones internacionales que incluyen, entre otras, UE, GAFI, EE. UU., ONU.)
En cualquier caso, Bankera tiene la facultad discrecional de determinar una vulnerabilidad informada como insignificante, incluida su elegibilidad para una recompensa. Al enviar un error, acepta seguir las reglas mencionadas anteriormente.
Tres cubos azules y amarillos

Cómo reportar un error

  1. Los informes de errores deben presentarse con una prueba de concepto detallada paso a paso, que nos ayude a reproducir y evaluar el problema. Por ejemplo, un informe que explique un error relacionado con la web debe contener al menos:
    • Peticiones y respuestas HTTP junto con los parámetros afectados
    • Videos o capturas de pantalla (si es necesario)
    • Descripción del navegador (tipo), sistema operativo y dispositivo
    • Descripción del efecto producido por el error
    • Sugerencias sobre cómo resolver el problema (opcional)
  2. No comparta ningún archivo y/o detalles relacionados con el error encontrado en forma pública. Esto incluye subir contenido a cualquier plataforma de acceso público (es decir, YouTube, Imgur, Pastebin, etc.).
  3. Cifre el informe y los archivos adjuntos necesarios con nuestra clave pública PGP (disponible a continuación).
  4. Incluya su dirección de BTC/ETH para el pago.
  5. Envie sus reportes de errores a [email protected].

Si nuestro equipo de ciberseguridad no puede reproducir y verificar el error, no se pagará la recompensa.

Copiar clave:
Reportar un bug

Elegibilidad (campo de aplicación)

Todos los servicios proporcionados por SpectroCoin son elegibles para nuestro programa de reporte de errores, incluidas las aplicaciones SpectroCoin para iOS y Android, cartera de SpectroCoin, API, Merchant Tools, Tarjetas y Exchange. En general, las vulnerabilidades que tienen el potencial de pérdida financiera o violación de datos se consideran de suficiente gravedad, incluidas, entre otras, las siguientes:

  • Falsificación de petición en sitios cruzados (Cross-Site Request Forgery-CSRF)
  • Secuencias de comandos en sitios cruzados (Cross-site scripting-XSS)
  • Inyección de código
  • Ejecución Remota de Código
  • Escalada de privilegios
  • Vulnerabilidad de omisión de autenticación
  • Clickjacking
  • Fuga de información sensible

Inelegibilidad (Fuera del campo de aplicación)

Generalmente, los siguientes problemas no se consideran lo suficientemente graves y, por lo tanto, no califican para las recompensas:

  • Falta de DNSSEC
  • Inyecciones de encabezado de host sin un impacto específico y/o demostrable
  • Exploits basados en Flash
  • Falsificación de petición en sitios cruzados (CSRF) en formularios que no requieren autenticación o en acciones no sensibles
  • Clickjacking en páginas sin acciones sensibles
  • Vulnerabilidades que requieren un ataque de intermediario (Man-in-the-middle/MITM) o acceso físico al navegador web, la cuenta de correo electrónico, el teléfono inteligente de un usuario y problemas en dispositivos con root o jailbreak
cubo dentro de un cubo mayor

Divulgación responsable

La revelación responsable incluye pero no se limita a:

  1. Brindarnos una cantidad de tiempo razonable para solucionar el problema antes de publicarlo en otro lugar.
  2. No violar la privacidad de otros usuarios, destruir algún dato o interrumpir nuestros servicios, etc. (Actuar de buena fe).
  3. No defraudar a los usuarios de SpectroCoin (no interactuar con una cuenta individual lo que incluye modificar o acceder a datos de la cuenta) ni a SpectroCoin en el proceso de descubrimiento.
  4. Para las vulnerabilidades que requieran de acceso con cuenta, deberá utilizar su propia cuenta.
  5. Si accidentalmente accede a datos privados, le pedimos que elimine toda la información relacionada, incluidos, entre otros, códigos de acceso, datos privados, etc., después de notificarnos.
  6. Si, en caso de error, usted fué capaz de acceder o mover fondos de SpectroCoin, usted se compromete a devolver la cantidad íntegra a SpectoCoin.
* Para fomentar la revelación responsable, no presentaremos acciones legales contra aquellos investigadores que señalen un problema siempre que hagan todo lo posible por seguir las pautas anteriormente mencionadas.

Ayúdenos a mantener SpectroCoin seguro

Reportar un bug