Programme
Prime de Bug

À Spectrocoin, nous prenons la sécurité très au sérieux ainsi que celle de nos utilisateurs. Bien que notre équipe informatique ait pris toutes les précautions possible pour trouver des éventuels bugs dans notre système, il y a toujours une infime possibilité que quelques uns pourraient avoir été oublié. À SpectroCoin, nous pensons qu'un travail main dans la main avec notre communauté peut apporter le meilleur résultat pour les deux parties. SpectroCoin gère un programme Bugs Bounty qui récompense les utilisateurs déclarant un bug éligible important.
Poignée de main

Divulgation responsable

La divulgation responsable comprend, mais est non limité à:
  • 1. Nous fournir un délai raisonnable afin de régler le dysfonctionnement avant même sa publication.
  • 2. La non-violation de la vie privée d'autres utilisateurs, la déstruction de toute donnée ou la perturbation de nos services, etc.(Agir de bonne foi)
  • 3. Ne pas tenter de frauder les utilisateurs SpectroCoin (vous ne pouvez pas interagir directement avec un compte individuel, afin de modifier ou accéder aux données à partir du compte) ou SpectroCoin même dans le processus de découverte.
  • 4. Pour les exploits nécessitant un accès au compte, vous devriez utiliser votre propore compte.
  • 5. Si vous accédez par inadvertance à des données privées, nous vous demandons de bien vouloir supprimer toutes les informations relatives à ces données, y compris, mais sans s'y limiter, les codes d'accès, les données privées, etc., après nous en avoir informés.
  • 6. Si, en cas de bug, vous avez pu accéder et/ou déplacer des fonds de SpectroCoin, vous vous engagez à retourner le montant total à SpectroCoin.
* Afin d'encourager la divulgation responsable, nous n'engagerons aucune action judiciaire contre les chercheurs signalant un problème, à condition qu'ils respectent les directives ci-dessus.

Récompenses

La récompense minimale pour les bugs admissibles est équivalente à 100 USD en Bitcoin ou Ethereum. Des récompenses plus élevées peuvent être allouées, en fonction de la gravité des vulnérabilités signalées. Un rapport étape par étape (ou un script d'exploit) est vivement souhaité. Nous utilisons le tableau suivant en guise de guide. La détermination du montant final reste à notre discrétion:
  • Bug
    Récompense
  • Exécution d'action code arbitraire (Remote Code Execution)
    jusqu'à $10,000
  • Manipulation significative du solde du compte
    jusqu'à $5000
  • XSS/CSRF/Détournements de click (Clickjacking) affectant les actions sensibles [1]
    jusqu'à $3,500
  • Vol d'informations privilégiées [2]
    jusqu'à $2,500
  • Partial authentication bypass
    jusqu'à $1,500
  • Autre XSS (sauf Self-XSS)
    jusqu'à $500
  • Autre vulnérabilité présentant un potentiel évident de perte financière ou de données
    jusqu'à $500
  • Autres CSRF (hors logout CSRF)
    jusqu'à $100
[1] Les actions sensibles incluent: déposer, échanger ou envoyer de l'argent; actions clés OAuth ou API.
[2] Les informations privilégiées incluent: les mots de passe, les clés API, les numéros de compte bancaire, les numéros de sécurité sociale ou équivalent.
Seules les vulnérabilités inconnues et précédemment non déclarées seront pris en considération pour une prime de récompense.
Nous n'offrons qu'une prime par bug. Si plusieurs rapports sont soumis pour la même vulnérabilité, nous récompenserons la première personne à signaler le bug (veuillez consulter la section "Comment signaler un bug").
Pour recevoir une récompense, il ne doit y avoir aucun obstacle juridique à cela (par exemple, vous ne pouvez pas participer à ce programme si vous êtes résident ou un individu situé dans un pays faisant partie de sanctions internationales, y compris, mais sans s'y limiter, la Commission Européenne (EC), le Groupe d'action financière (FATF), les États-Unis, les Nations Unies)
* Dans tous les cas, SpectroCoin a le pouvoir discrétionnaire de déterminer une vulnérabilité signalée comme non significative, y compris son admissibilité à une récompense. En soumettant un bug, vous concentez à suivre les règles ci-dessus. Merci de contribuer à la sécurité de SpectroCoin et de ses utilisateurs!

Comment signaler un bug

Envoyez votre rapport de bug à [email protected]. Une preuve de l'existence de la vulnérabilité (captures d'écran/vidéo/script) est requise. Ces fichiers ne doivent pas être partagés publiquement. Cela comprend le téléchargement sur tous les sites Web accessibles au public (tel que YouTube, Imgur, etc.).

Les étapes de la reproduction doivent être fournies dans le rapport de bug, notamment:
  • -URL et paramètres concernés;
  • -Description du navigateur (type), du système d'exploitation, du périphérique et/ou de la version de l'application;
  • -Description de l'impact perçu de la vulnérabilité;
  • -Suggestions sur la manière de résoudre le problème (facultatif).
Signaler un bug
* Si notre équipe informatique ne peut pas reproduire et vérifier le problème, la prime ne sera pas attribuée.
* Indiquez votre adresse BTC/ETH pour le paiement.
Icône mail

Eligibilité (champ d'application)

Tous les services fournis par SpectroCoin sont éligibles pour notre programme Bug Bounty, y compris les applications iOS et Android SpectroCoin, SpectroCoin Wallet, l'interface de programmation applicative (API), les outils du commerçant, les cartes et le système de change.
En général, les vulnérabilités susceptibles d'entraîner une perte financière ou une violation de données sont considérées comme étant graves, y compris, mais pas nécessairement:
  • - La contrefaçon de requête intersite (Cross-Site Request Forgery (CSRF))
  • - Cross-Site Scripting (XSS)
  • - Injection de code (Code Injection)
  • - Exécution d'action code à distance arbitraire (Remote Code Execution)
  • - Élévation des privilèges (Privilege Escalation)
  • - Contournement d'accès (Authentication Bypass)
  • - Détournement de click (Clickjacking)
  • - Fuite de données sensibles (Leakage of Sensitive Data)

Inéligibilité (Hors champ d'application)

En général, les vulnérabilités suivantes n'atteignent pas le seuil de gravité:
  • -Des vulnérabilités sur les sites hébergés par des tiers, sauf si elles entraînent une vulnérabilité sur le site web principal (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website).
  • -Exigences de complexité des mots de passe (Password complexity requirements);
  • -Self-XSS;
  • -Attaque par déni de service (DoS)(Denial of service (DoS));
  • -Spamming;
  • -Problèmes d'utilisabilité (Usability issues);
  • -Des vulnérabilités affectant les navigateurs obsolètes ou non corrigés (Vulnerabilities affecting outdated or unpatched browsers);
  • -Des vulnérabilités dans les applications tierces utilisant l'Interface de programmation applicative (API) SpectroCoin (Vulnerabilities in third party applications which make use of the SpectroCoin API);
  • -Rapports à partir d'outils ou d'analyses automatisés, sans démonstration de l'exploitabilité (Reports from automated tools or scans, without exploitability demonstration);
  • -Les attaques non techniques, telles que les attaques physiques, l'ingénierie sociale, hameçonnage, etc. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.);
  • -Bugs déjà signalés auparavant (Bugs that have been already reported before);
  • -Bugs qui nous sont connus (Bugs known to us);
  • -Problèmes non reproductibles (Non-reproducible issues).

Aider à conserver la sécurité de SpectroCoin et de nos utilisateurs

Signaler un bug