Programme Bug Bounty

SpectroCoin est déterminé à assurer un environnement sécurisé pour ses utilisateurs. Bien que notre équipe informatique ait fait tous les efforts possibles afin de réduire les vulnérabilités possibles sur notre plate-forme, il y a toujours le risque que quelques-unes ont été négligées. Ainsi, nous avons décidé d'établir un programme bug bounty. Chaque utilisateur de SpectroCoin peut participer au programme et gagner des récompenses en signalant les bugs trouvés dans notre système.

Récompenses

SpectroCoin n'a pas défini de récompense maximale pour les vulnérabilités signalées - des récompenses plus élevées peuvent être attribuées en fonction de la gravité du bug signalé. Nous distribuons les récompenses conformément aux directives suivantes, cependant, la détermination du montant final reste à notre discrétion. Les récompenses pour les bugs éligibles sont payées en Bitcoin ou Ether.

Le montant de la récompense peut être augmenté en fonction de:

  • La qualité de la description. Des récompenses plus élevées peuvent être payées pour des rapports de prime de bug clairs et bien écrits.
  • La qualité de la preuve de concept. Des récompenses plus élevées peuvent être payées si le code de test, les scripts et les instructions détaillées sont inclus.
  • La qualité de la réparation, le cas échéant. Des récompenses plus élevées peuvent être payées si des suggestions sur la façon de résoudre le problème sont fournies.
Bug de vecteur bleuBug
Récompense
Critique$4,000 - $15,000
Élevé$1,000 - $4,000
Moyen$200 - $1,000
BasJusqu'à $200
Seules les vulnérabilités inconnues et non signalées auparavant sont prises en compte pour les récompenses.
Nous ne remettons qu'une seule récompense par bug. Si plusieurs rapports sont soumis pour la même vulnérabilité, nous récompenserons uniquement la première personne à avoir envoyé le rapport (veuillez consulter la section "Comment signaler un bug").
Pour recevoir une récompense, il ne doit y avoir aucun obstacle juridique à le faire (par exemple, vous ne pouvez pas participer à ce programme si vous êtes un résident ou un particulier situé dans un pays soumis à des sanctions internationales, y compris, sans toutefois s'y limiter, CE, le GAFI, les États-Unis, ONU.)
Dans tous les cas, SpectroCoin a le pouvoir discrétionnaire de déterminer une vulnérabilité signalée comme étant non significative, y compris son admissibilité à la récompense. En soumettant un bug, vous acceptez de suivre les règles ci-dessus.
Trois cubes bleus et jaunes

Comment signaler un bug

  1. Le rapport de bug doit contenir une preuve de concept détaillée étape par étape qui nous permettrait de reproduire et d'évaluer le problème. Par exemple, un rapport Web doit contenir au moins:
    • Requêtes / réponses HTTP avec les paramètres affectés
    • Captures d'écran ou vidéos (si nécessaire)
    • Description du navigateur (type), du système d'exploitation, de l'appareil et/ou de la version de l'application
    • Description du navigateur (type), du système d'exploitation, de l'appareil et/ou de la version de l'application
    • Suggestions sur la façon de résoudre le problème (facultatif)
  2. Ne partagez pas publiquement les fichiers et/ou les détails liés à la vulnérabilité. Cela inclut les téléchargements vers tous les sites Web accessibles au public (par exemple, YouTube, Imgur, Pastebin, etc.).
  3. Cryptez votre message et toutes les pièces jointes à l'aide de notre clé publique PGP (disponible ci-dessous).
  4. Incluez votre adresse BTC/ETH pour le paiement.
  5. Envoyez vos rapports de vulnérabilité à [email protected].

Si notre équipe de sécurité informatique ne peut pas reproduire et vérifier le problème, la récompense ne sera pas allouée.

Copier la clé:
Signaler un bug

Eligibilité (champ d'application)

Tous les services fournis par SpectroCoin sont éligibles pour notre programme Bug Bounty, y compris les applications iOS et Android SpectroCoin, SpectroCoin Wallet, l'interface de programmation applicative (API), les outils du marchand, les cartes et l'échange. En général, les vulnérabilités susceptibles d'entraîner une perte financière ou une violation de données sont considérées comme étant graves incluent, mais ne sont pas limités à, voir ci-dessous:

  • La contrefaçon de requête intersite (Cross-Site Request Forgery (CSRF))
  • Script intersite (XSS)
  • Injection de Code (Code Injection)
  • Exécution de code à distance (Remote Code Execution)
  • Élévation de Privilège (Privilege Escalation)
  • Contournement d'accès (Authentication Bypass)
  • Détournement de click (Clickjacking)
  • Fuite de données sensibles (Leakage of Sensitive Data)

Inéligibilité (Hors champ d'application)

En général, les vulnérabilités suivantes n'atteignent pas le seuil de gravité:

  • Absence de DNSSEC
  • Injection d'entête d'hôte sans impact spécifique et démontrable
  • Exploits basés sur Flash
  • CSRF sur les formulaires ne nécessitant aucune authentification ou sur des actions non sensibles
  • Détournement de clics sur des pages sans actions sensibles
  • Vulnérabilités qui nécessitent une attaque Man-in-the-middle (MITM), ou un accès physique au navigateur Web, au compte de messagerie, au smartphone et aux problèmes sur les appareils rootés / jailbreakés d'un utilisateur
Cube à l'intérieur d'un plus grand cube

Divulgation responsable

La divulgation responsable comprend, mais est non limité à:

  1. Nous fournir un délai raisonnable afin de régler le dysfonctionnement avant même sa publication.
  2. La non-violation de la vie privée d'autres utilisateurs, la destruction de toute donnée ou la perturbation de nos services, etc. (Agir de bonne foi)
  3. Ne pas tenter de frauder les utilisateurs SpectroCoin (vous ne pouvez pas interagir directement avec un compte individuel, afin de modifier ou accéder aux données à partir du compte) ou SpectroCoin même dans le processus de découverte.
  4. Pour les exploits nécessitant un accès au compte, vous devriez utiliser votre propre compte.
  5. Si vous accédez par inadvertance à des données privées, nous vous demandons de bien vouloir supprimer toutes les informations relatives à ces données, y compris, mais sans s'y limiter, les codes d'accès, les données privées, etc., après nous en avoir informés.
  6. Si, en cas de bug, vous avez pu accéder et/ou déplacer des fonds de SpectroCoin, vous vous engagez à retourner le montant total à SpectroCoin.
* Afin d'encourager la divulgation responsable, nous n'engagerons aucune action judiciaire contre les chercheurs signalant un problème, à condition qu'ils respectent les directives ci-dessus.

Aidez-nous à protéger SpectroCoin

Signaler un bug