脆弱性報奨金制度
SpectroCoinはユーザーの皆様の安全確保に努めております。IT専門家チームはプラットフォーム上に起こりうる脆弱性に目を光らせ尽力しておりますが、それでも見落としがある可能性は否定できません。そこで、我々はバグ報奨金プログラムの導入を決定致しました。SpectroCoinのすべてのユーザー様は、このプログラムに参加し、システム上で発見されたバグを報告することで報酬をお受け取りいただくことができます。
報奨金
SpectroCoinは、報告された脆弱性に対する報酬の上限を設定していません。報告されたバグの重要度に応じて、より高い報酬が支払われる場合があります。以下のガイドラインに従って報奨金を分配しますが、最終的な金額の決定は当社の裁量によります。対象となるバグの報酬は、ビットコインまたはイーサで支払われます。
報酬額は、以下に基づいて増やすことができます。
- 説明の質 明確かつ丁寧に書かれた報奨金対象のバグレポートについては、より高い報酬が支払われる場合があります。
- 概念実証の質 テストコード、スクリプト、および詳細な手順が含まれている場合、より高い報酬が支払われる場合があります。
- 修正の質(含まれている場合) 問題の修正方法に関する提案が提供された場合、より高い報酬が支払われる場合があります。
報奨 | |
---|---|
致命的な | $4,000 - $15,000 |
高い | $1,000 - $4,000 |
中間 | $200 - $1,000 |
低い | 最大 $200 |
報奨金の対象は、把握されていないもの、且つ報告されたことのない脆弱性のみが対象となります。
1件の脆弱性に対し、1件の報奨金です。同じ脆弱性に対して複数のレポートが提出された場合は、最初の報告者にのみ報奨金が与えられます(「脆弱性を報告する方法」を参照)。
報奨金を受け取るには法的障壁があってはなりません。(例えば、EC、FATF、US、UNおよびその他の国々を含む国際的な制裁を受ける対象国に居住し、又は制裁対象の個人に該当する場合、このプログラムに参加することはできません。 )
SpectroCoinはいかなる場合も、報酬の適性を含め、報告された脆弱性が重大でないと判断する裁量を持っています。脆弱性を提出することにより、上記の規則に従うことに同意したことになります。
1件の脆弱性に対し、1件の報奨金です。同じ脆弱性に対して複数のレポートが提出された場合は、最初の報告者にのみ報奨金が与えられます(「脆弱性を報告する方法」を参照)。
報奨金を受け取るには法的障壁があってはなりません。(例えば、EC、FATF、US、UNおよびその他の国々を含む国際的な制裁を受ける対象国に居住し、又は制裁対象の個人に該当する場合、このプログラムに参加することはできません。 )
SpectroCoinはいかなる場合も、報酬の適性を含め、報告された脆弱性が重大でないと判断する裁量を持っています。脆弱性を提出することにより、上記の規則に従うことに同意したことになります。
脆弱性を報告する方法
-
バグレポートは、問題の再現及び評価が可能なように、詳細かつ段階的な概念実証を
含んでだものでなければなりません。例えば
ウェブ関連レポートは少なくとも以下のものを含んでいる必要があります。
- 影響を受けるパラメータを伴うHTTPリクエスト/レスポンス
- スクリーンショットまたは動画(必要に応じて)
- ブラウザ(タイプ)、OS、ディバイス及びアプリのバージョンに関する記述
- 脆弱性が認められる影響についての記述
- 解決方法の提案(任意)
- 脆弱性に関するファイル及び詳細を公開をしないこと。 全体公開されているウェブサイトへのアップロードも同様。(例、YouTube、 Imgur、Pastebin、など)
- PGP公開鍵を使用しメッセージと添付ファイルを暗号化すること。 (以下より利用可能)
- 支払いにはBTC / ETHアドレスを含めること。
- 脆弱性レポートの送信先 [email protected].
ITセキュリティチームが問題を再現して確認できない場合、報奨金は お支払いできません。
キーのコピー
脆弱性を報告対象範囲
SpectroCoinが提供するiOSおよびAndroidのSpectroCoinアプリ、SpectroCoinウォレット、API、法人ツール、カード、取引所などのすべてのサービスが脆弱性報奨金制度の対象となります。一般に、財務上の損失やデータ侵害の可能性がある脆弱性は、十分な重大性があるとみなされますが、必ずしもその限りではありません。
- クロスサイトリクエストフォージェリ(Cross-Site Request Forgery (CSRF))
- クロスサイトスクリプティング(Cross-Site Scripting (XSS))
- インジェクション攻撃(Code Injection)
- リモートでコードを実行(Remote Code Execution)
- 特権昇格(Privilege Escalation)
- 認証バイパス(Authentication Bypass)
- クリックジャッキング(Clickjacking)
- 機密データの漏洩(Leakage of Sensitive Data)
対象範囲外
一般的に以下のものは脆弱性の深刻度の基準を満たしません。
- DNSSECの欠如
- 特定の実証可能な影響を持たないホストヘッダーインジェクション
- Flashに基づくエクスプロイト
- 認証を必要としないフォームまたは機密性の低いアクションに関するCSRF
- センシティブアクションを含まないページ上のクリックジャッキング
- 中間者攻撃(MITM)を必要とする脆弱性、またはユーザーのウェブブラウザ、メールアカウント、スマートフォンへの物理的なアクセス、およびルート化/ジェイルブレイク(脱獄)済デバイスの問題
開示責任
開示責任には、以下が含まれますが、これに限定されません。
- 他の場所に公開する前に問題を解決するための合理的な時間を提供する。
- 他のユーザーのプライバシーを侵害することなく、いかなるデータも破棄したり、弊社のサービスを中断させない(誠意ある行動をする)。
- 検出プロセスの過程でSpectroCoinユーザー(アカウントのデータの変更やアクセスを含む個々のアカウントとのやり取りをしない)及びSpectroCoin自体を欺くことをしない。
- アカウントアクセスが必要なエクスプロイトでは、自分のアカウントを使用すること。
- 誤ってプライベートデータにアクセスした場合は、その旨を弊社への通知し、アクセスコード、プライベートデータなどを含むすべての関連情報を直ちに削除すること。
- SpectroCoin資金へのアクセス及び資金移動が可能なバグである場合、全額をSpectroCoinに返却することを約束すること。
* 責任開示を奨励するため、上記のガイドラインに沿って最善を尽くすことを条件に、問題点を指摘する調査員に対する法的措置を講じることはありません。