Programme
Prime de Bug

À Spectrocoin, nous prenons la sécurité très au sérieux ainsi que celle de nos utilisateurs. Bien que notre équipe informatique ait pris toutes les précautions possible pour trouver des éventuels bugs dans notre système, il y a toujours une infime possibilité que quelques uns pourraient avoir été oublié. À SpectroCoin, nous pensons qu'un travail main dans la main avec notre communauté peut apporter le meilleur résultat pour les deux parties. SpectroCoin gère un programme Bugs Bounty qui récompense les utilisateurs déclarant un bug éligible important.
Poignée de main

Divulgation responsable

La divulgation responsable comprend, mais est non limité à:
  • 1. Nous fournir un délai raisonnable afin de régler le dysfonctionnement avant même sa publication.
  • 2. La non-violation de la vie privée d'autres utilisateurs, la déstruction de toute donnée ou la perturbation de nos services, etc.(Agir de bonne foi)
  • 3. Ne pas tenter de frauder les utilisateurs SpectroCoin (vous ne pouvez pas interagir directement avec un compte individuel, afin de modifier ou accéder aux données à partir du compte) ou SpectroCoin même dans le processus de découverte.
  • 4. Pour les exploits nécessitant un accès au compte, vous devriez utiliser votre propore compte.
  • 5. Si vous accédez par inadvertance à des données privées, nous vous demandons de bien vouloir supprimer toutes les informations relatives à ces données, y compris, mais sans s'y limiter, les codes d'accès, les données privées, etc., après nous en avoir informés.
  • 6. Si, en cas de bug, vous avez pu accéder et/ou déplacer des fonds de SpectroCoin, vous vous engagez à retourner le montant total à SpectroCoin.
* Afin d'encourager la divulgation responsable, nous n'engagerons aucune action judiciaire contre les chercheurs signalant un problème, à condition qu'ils respectent les directives ci-dessus.

Récompenses

SpectroCoin n'a pas défini de récompense maximale pour les vulnérabilités de sécurité signalées. La récompense pour les problèmes de sécurité éligibles sera payée en Bitcoin ou Ether. Des récompenses plus élevées peuvent être allouées, en fonction de la gravité des vulnérabilités signalées. Nous utilisons le tableau suivant comme guide, toutefois, la détermination du montant final reste à notre discrétion.
  • Bug
    Récompense
  • Critique
    $4,000 - $15,000
  • Élevé
    $1,000 - $4,000
  • Moyen
    $200 - $1,000
  • Faible
    jusqu'à $200
Seules les vulnérabilités inconnues et non signalées auparavant sont prises en compte pour les récompenses.
Nous ne remettons qu'une seule récompense par bug. Si plusieurs rapports sont soumis pour la même vulnérabilité, nous récompenserons uniquement la première personne à avoir envoyé le rapport (veuillez consulter la section "Comment signaler un bug").
Pour recevoir une récompense, il ne doit y avoir aucun obstacle juridique à le faire (par exemple, vous ne pouvez pas participer à ce programme si vous êtes un résident ou un particulier situé dans un pays soumis à des sanctions internationales, y compris, sans toutefois s'y limiter, CE, le GAFI, les États-Unis, ONU.)
* Dans tous les cas, SpectroCoin a le pouvoir discrétionnaire de déterminer une vulnérabilité signalée comme étant non significative, y compris son admissibilité à la récompense. En soumettant un bug, vous acceptez de suivre les règles ci-dessus. Merci de protéger SpectroCoin et nos utilisateurs!
Le montant de la récompense peut être augmenté en fonction:

Comment signaler un bug

Envoyez vos rapports de vulnérabilité à [email protected]. Veuillez chiffrer votre message et toutes les pièces jointes en utilisant notre clé PGP publique (disponible ci-dessous). Ne partagez pas publiquement de fichiers et/ou de détails liés à la vulnérabilité. Cela inclut les téléchargements vers tous les sites Web accessibles au public (c'est-à-dire YouTube, Imgur, Pastebin, etc.).
Les rapports de bugs doivent contenir une preuve de concept détaillée étape par étape qui nous permettrait de reproduire et d'évaluer le problème. Par exemple, les rapports liés au Web doivent contenir au moins:
  • Requêtes/réponses de HTTP avec paramètres affectés
  • Captures d'écran ou vidéos (si nécessaire)
  • Description du navigateur (type), du système d'exploitation, de la version de l'appareil et/ou de l'application
  • Description de l'impact perçu de la vulnérabilité
  • Suggestions sur la façon de résoudre le problème (facultatif)
Signaler un bug
* Si notre équipe informatique ne peut pas reproduire et vérifier le problème, la prime ne sera pas attribuée.
* Indiquez votre adresse BTC/ETH pour le paiement.
Icône mail

Eligibilité (champ d'application)

Tous les services fournis par SpectroCoin sont éligibles pour notre programme Bug Bounty, y compris les applications iOS et Android SpectroCoin, SpectroCoin Wallet, l'interface de programmation applicative (API), les outils du commerçant, les cartes et le système de change.
En général, les vulnérabilités susceptibles d'entraîner une perte financière ou une violation de données sont considérées comme étant graves, y compris, mais pas nécessairement:
  • - La contrefaçon de requête intersite (Cross-Site Request Forgery (CSRF))
  • - Cross-Site Scripting (XSS)
  • - Injection de code (Code Injection)
  • - Exécution d'action code à distance arbitraire (Remote Code Execution)
  • - Élévation des privilèges (Privilege Escalation)
  • - Contournement d'accès (Authentication Bypass)
  • - Détournement de click (Clickjacking)
  • - Fuite de données sensibles (Leakage of Sensitive Data)

Inéligibilité (Hors champ d'application)

En général, les vulnérabilités suivantes n'atteignent pas le seuil de gravité:
  • -Des vulnérabilités sur les sites hébergés par des tiers, sauf si elles entraînent une vulnérabilité sur le site web principal (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website).
  • -Exigences de complexité des mots de passe (Password complexity requirements);
  • -Self-XSS;
  • -Attaque par déni de service (DoS)(Denial of service (DoS));
  • -Spamming;
  • -Problèmes d'utilisabilité (Usability issues);
  • -Des vulnérabilités affectant les navigateurs obsolètes ou non corrigés (Vulnerabilities affecting outdated or unpatched browsers);
  • -Des vulnérabilités dans les applications tierces utilisant l'Interface de programmation applicative (API) SpectroCoin (Vulnerabilities in third party applications which make use of the SpectroCoin API);
  • -Rapports à partir d'outils ou d'analyses automatisés, sans démonstration de l'exploitabilité (Reports from automated tools or scans, without exploitability demonstration);
  • -Les attaques non techniques, telles que les attaques physiques, l'ingénierie sociale, hameçonnage, etc. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.);
  • -Bugs déjà signalés auparavant (Bugs that have been already reported before);
  • -Bugs qui nous sont connus (Bugs known to us);
  • -Problèmes non reproductibles (Non-reproducible issues).

Aider à conserver la sécurité de SpectroCoin et de nos utilisateurs

Signaler un bug