Programma Bug Bounty
SpectroCoin è determinato a garantire un ambiente sicuro per i suoi utenti. Sebbene i nostri specialisti informatici stiano facendo del loro meglio per trovare ogni possibile vulnerabilità sulla nostra piattaforma, c'è sempre una possibilità che alcune possano passare inosservate. Quindi, abbiamo deciso di introdurre un programma di ricompensa dei bug. Ogni utente SpectroCoin può far parte al programma e guadagnare premi segnalando i bug che trovano nel nostro sistema.
Ricompense
SpectroCoin non ha impostato un premio massimo per le vulnerabilità segnalate, le ricompense più elevate sono assegnate a seconda della gravità del bug segnalato. Distribuiamo i premi in conformità con le seguenti linee di guida, tuttavia la determinazione dell'importo finale rimane a nostra discrezione. Le ricompense per i bug idonei sono pagati in Bitcoin o Ether.
Il valore della ricompensa può aumentare in base a:
- La qualità della descrizione. Una ricompensa più alta può essere pagata per dei rapporti scritti bene e chiaramente.
- La qualità della prova concetto. Una ricompensa più alta può essere pagata se sono inclusi codici, testi e istruzioni dettagliate dei test.
- La qualità della correzione, se inclusa. Una ricompensa più alta può essere pagata se sono inclusi suggerimenti su come risolvere il problema.
Bug | Ricompensa |
---|---|
Critico | $4,000 - $15,000 |
Alto | $1,000 - $4,000 |
Medio | $200 - $1,000 |
Basso | fino a $200 |
Premiamo per la scoperta di un solo bug. Se vengono inviate più segnelazioni per la stessa vulnerabilità, solamente la prima persona sarà ricompensata (vedi sezione "Come segnalare un bug).
Per ricevere una ricompensa, non ci deve essere alcun ostacolo legale a farlo (ad esempio, non puoi partecipare a questo programma se sei un residente o un individuo che si trova in un paese che compare in sanzioni internazionali incluso, ma non limitato a CE, FATF, USA, ONU.)
In ogni caso SpectroCoin ha la facoltà di determinare una vulnerabilità segnalata come insignificante, inclusa la sua idoneità per un premio. Inviando un bug, accetti di seguire le regole sopra riportate.
Come segnalare un bug
-
Le segnalazioni di bug devono includere una prova dettagliata del concetto che ci consente di riprodurre e valutare il problema. Ad esempio, il rapporto relativo al sito Web dovrà contenere almeno:
- Richieste/risposte HTTP insieme ai parametri interessati
- Schermate o video (se necessari)
- Descrizione del browser (tipo), del sistema operativo, del dispositivo e/o della versione dell'applicazione
- Descrizione dell'impatto percepito dalla vulnerabilità
- Suggerimenti su come risolvere il problema (facoltativo)
- Non condividere pubblicamente file e/o dettagli relativi alla vulnerabilità. Ciò include il caricamento su siti Web accessibili al pubblico (ad esempio YouTube, Imgur, Pastebin, ecc.).
- Crittografa il tuo messaggio e tutti gli allegati utilizzando la nostra chiave pubblica PGP (disponibile di seguito).
- Includi il tuo indirizzo BTC/ETH per il pagamento.
- Invia il tuo report di vulnerabilità a [email protected].
Se il nostro Team di sicurezza informatica non è in grado di riprodurre e verificare il problema, il premio non sarà assegnato.
Eleggibilità (Ambito)
Tutti i servizi forniti da SpectroCoin sono idonei per il nostro programma di bug, incluse le app SpectroCoin per iOS e Android, Portafoglio SpectroCoin, API, Strumenti per commercianti, Carte ed Exchange. In generale, le vulnerabilità che hanno un potenziale di perdita finanziaria o violazione dei dati sono considerate di gravità sufficiente, inclusi ma non necessariamente:
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Codice di iniezione (Code Injection)
- Esecuzione di codice in remoto (Remote Code Execution)
- Aumento dei privilegi (Privilege Escalation)
- Bypass di autenticazione (Authentication Bypass)
- Clickjacking
- Perdita di dati sensibili (Leakage of Sensitive Data)
Ineleggibilità (Fuori Ambito)
Generalmente le seguenti vulnerabilità non soddisfano la soglia di gravità:
- Mancanza di DNSSEC
- Ospita iniezioni di intestazione senza un impatto specifico e dimostrabile
- Exploit basati su Flash
- CSRF su moduli che non richiedono autenticazione o su azioni non sensibili
- Clickjacking su pagine senza azioni sensibili
- Vulnerabilità che non richiedono un attacco Man-in-the-middle (MITM) o accesso fisico al browser, all'indirizzo e-email, allo smartphone e ai problemi su dispositivi rooted/jailbroken
Divulgazione responsabile
La divulgazione responsabile include, ma non è limitata a:
- Fornirci un ragionevole lasso di tempo per risolvere il problema prima di pubblicarlo altrove.
- Non violazione della privacy di altri utenti, distruzione di dati o interruzione dei servizi, ecc. (Agire in buona fede).
- Non truffare gli utenti di SpectroCoin (non interagire con i singolo individui, che include la modifica o l'accesso ai dati dal conto) o lo stesso SpectroCoin nel processo di rilevemento.
- Per gli exploit che richiedono l'accesso tramite un conto, è necessario utilizzare il proprio conto.
- Se accedete inavvertitamente a dati privati, ti chiediamo di eliminare tutte le informazioni correlate, inclusi, a titolo esemplificativo ma non esaustivo, codici di accesso, dati privati e così via, dopo averci informato.
- Se, in caso di bug, sei stato in grado di accedere e/o spostare fondi da SpectroCoin, ti impegni a restituire l'intero importo a SpectroCoin.