脆弱性報奨金
制度

SpectroCoinは、セキュリティの重要性とユーザーの安全性を理解しています。弊社のITチームは、システム上で起こりうるバグを見つけるためのすべての予防策を講じていますが、それらのうちのいくつかは見過ごされていた可能性が若干ながらあります。SpectroCoinでは、コミュニティと協力して作業することで、双方にとって最良の結果が得られると考えています。SpectroCoinでは重大な対象となるバグを報告した場合に報酬を受けることができる脆弱性報奨金制度を行っております。
握手

開示責任

開示責任には、以下が含まれますが、これに限定されません。:
  • 1. 他の場所に公開する前に問題を解決するための合理的な時間を提供します。
  • 2. 他のユーザーのプライバシーを侵害することなく、いかなるデータも破棄したり、弊社のサービスを中断するようなことなどは致しません(誠意ある行動をする)。
  • 3. 検出プロセス中の過程でSpectroCoinユーザー(アカウントのデータの変更やアクセスを含む個々のアカウントとのやり取りはしません)やSpectroCoin自体を欺くことは致しません。
  • 4. アカウントアクセスが必要なエクスプロイトでは、自分自信のアカウントを使用する必要があります。
  • 5. 誤ってプライベートデータにアクセスした場合は、弊社への通知後に、アクセスコード、プライベートデータなどを含むすべての関連情報を削除するようお願いします。
  • 6. SpectroCoinの資金にアクセスしたり、資金を移動することができたバグ場合、全額をSpectroCoinに返却することを約束します。
* 開示責任を促すために、上記のガイドラインに従い最善を尽くし問題を指摘する研究者に対して法的措置を講じません。

報奨金

対象となる脆弱性の最低報酬は、BitcoinまたはEthereumの100USDに相当します。報告された脆弱性の深刻度に応じて、より高い報酬を割り当てることができます。ステップバイステップレポート(または悪用スクリプト)はより高報酬です。以下の表を参考にします。最終的な金額の決定は、弊社の裁量に委ねられます。:
  • 脆弱性
    報奨金
  • リモートでコードを実行
    最大 $10,000
  • アカウント残高の深刻な操作
    最大 $5000
  • 機密性の高い操作 XSS/CSRF/Clickjacking [1]
    最大 $3,500
  • 秘匿特権情報の盗難 [2]
    最大 $2,500
  • 部分認証バイパス
    最大 $1,500
  • その他のXSS(セルフXSSを除く)
    最大 $500
  • 財務またはデータ損失の可能性がある他の脆弱性
    最大 $500
  • その他のCSRF(ログアウトCSRFを除く)
    最大 $100
[1] 機密性の高い操作: 預金、取引、送金; OAuth、APIのキー操作。
[2] 秘匿特権情報: パスワード、APIキー、銀行口座番号、社会保障番号またはそれに相当するもの。
報奨金に関して把握されていないもので且つ報告されたことのない脆弱性のみが対象となります。
1つの脆弱性に1つの報酬がなされます。同じ脆弱性に対して複数のレポートが提出された場合は、最初のレポーターのみに報酬が与えられます("脆弱性を報告する方法"を参照)。
報酬報酬を受け取るには法的障害があってはなりません。(例えば、EC、FATF、US、UNおよびその他の国々を含む国際的な制裁を受ける対象国に居住し、又は制裁対象の個人に該当する場合、このプログラムに参加することはできません。 )
* いかなる場合にも、SpectroCoinは報酬の適性を含め、報告された脆弱性が重大でないと判断する裁量を持っています。脆弱性を提出することにより、上記の規則に従うことに同意したことになります。SpectroCoinとユーザーの安全性を守ってくれてありがとうございます!

脆弱性を報告する方法

脆弱性のレポートを [email protected] に送付してください。脆弱性の証明(スクリーンショット/ビデオ/スクリプト)が必要です。これらのファイルは一般公開してはいけません。これには、公的にアクセス可能なウェブサイト(YouTube、Imgurなど)へのアップロードが含まれます。

脆弱性レポートでは、以下の再現手順を提供する必要があります。:
  • - URLと影響を受けたパラメータ
  • - ブラウザ(タイプ)、OS、デバイス、および/またはアプリケーションのバージョンの説明
  • - 脆弱性の影響についての説明
  • - 問題の解決方法に関する提案(オプション)
脆弱性を報告
* ITチームが問題を再現して検証できない場合、報奨金は配分されません。
* 支払い用のBTC/ETH アドレスを記載してください。
メールアイコン

適正内 (範囲)

SpectroCoinが提供するiOSおよびAndroidのSpectroCoinアプリ、SpectroCoinウォレット、API、法人ツール、カード、取引所などのすべてのサービスが脆弱性報奨金制度の対象となります。
一般に、財務上の損失やデータ侵害の可能性がある脆弱性は、十分な重大性があるとみなされますが、必ずしもそうである必要はありません:
  • - クロスサイトリクエストフォージェリ(Cross-Site Request Forgery (CSRF))
  • - クロスサイトスクリプティング(Cross-Site Scripting (XSS))
  • - インジェクション攻撃(Code Injection)
  • - リモートでコードを実行(Remote Code Execution)
  • - 特権昇格(Privilege Escalation)
  • - 認証バイパス(Authentication Bypass)
  • - クリックジャッキング(Clickjacking)
  • - 機密データの漏洩(Leakage of Sensitive Data)

不適正 (範囲外)

一般に、次の脆弱性は重大性の基準値を満たしません。:
  • - メインのWebサイトに脆弱性を引き起こさない、サードパーティサイトの脆弱性。(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - パスワードの複雑さの要件(Password complexity requirements)
  • - セルフXSS(Self-XSS)
  • - Dos攻撃(DoS)(Denial of service (DoS))
  • - スパム(Spamming)
  • - ユーザビリティの問題(Usability issues)
  • - 旧式ブラウザやパッチの適用されていないブラウザに影響を及ぼす脆弱性(Vulnerabilities affecting outdated or unpatched browsers)
  • - SpectroCoinのAPIを使用するサードパーティアプリケーションの脆弱性(Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - エクスプロイタビリティ・デモンストレーションのない、自動ツールやスキャンによるレポート(Reports from automated tools or scans, without exploitability demonstration)
  • - 物理的な攻撃、ソーシャルエンジニアリング、フィッシングなどの非テクニカル攻撃など(Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - 報告済みの脆弱性(Bugs that have been already reported before)
  • - 把握している脆弱性(Bugs known to us)
  • - 再現性のない問題(Non-reproducible issues)

SpectroCoinとユーザーの安全に保つための助け

脆弱性を報告