脆弱性報奨金
制度

SpectroCoinは、セキュリティの重要性とユーザーの安全性を理解しています。弊社のITチームは、システム上で起こりうるバグを見つけるためのすべての予防策を講じていますが、それらのうちのいくつかは見過ごされていた可能性が若干ながらあります。SpectroCoinでは、コミュニティと協力して作業することで、双方にとって最良の結果が得られると考えています。SpectroCoinでは重大な対象となるバグを報告した場合に報酬を受けることができる脆弱性報奨金制度を行っております。
握手

開示責任

開示責任には、以下が含まれますが、これに限定されません。:
  • 1. 他の場所に公開する前に問題を解決するための合理的な時間を提供します。
  • 2. 他のユーザーのプライバシーを侵害することなく、いかなるデータも破棄したり、弊社のサービスを中断するようなことなどは致しません(誠意ある行動をする)。
  • 3. 検出プロセス中の過程でSpectroCoinユーザー(アカウントのデータの変更やアクセスを含む個々のアカウントとのやり取りはしません)やSpectroCoin自体を欺くことは致しません。
  • 4. アカウントアクセスが必要なエクスプロイトでは、自分自信のアカウントを使用する必要があります。
  • 5. 誤ってプライベートデータにアクセスした場合は、弊社への通知後に、アクセスコード、プライベートデータなどを含むすべての関連情報を削除するようお願いします。
  • 6. SpectroCoinの資金にアクセスしたり、資金を移動することができたバグ場合、全額をSpectroCoinに返却することを約束します。
* 開示責任を促すために、上記のガイドラインに従い最善を尽くし問題を指摘する研究者に対して法的措置を講じません。

報奨金

SpectroCoinは、報告されたセキュリティ脆弱性に対する最大の報酬を設定していません。 対象となるセキュリティ問題に対する報酬は、ビットコインまたはイーサーで支払われます。 報告された脆弱性の重大度に応じて、より高い報酬が割り当てられる場合があります。 次の表をガイドとして使用しますが、最終的な金額の決定は当社の裁量によります。
  • 脆弱性
    報奨金
  • 重大
    $4,000 - $15,000
  • 高い
    $1,000 - $4,000

  • $200 - $1,000
  • 低い
    $200まで
報奨金の対象は、把握されていないもので且つ報告されたことのない脆弱性のみが対象となります。
1つの脆弱性に対して、1つの報奨金です。同じ脆弱性に対して複数のレポートが提出された場合は、最初のレポーターのみに報奨金が与えられます("脆弱性を報告する方法"を参照)。
報奨金を受け取るには法的障害があってはなりません。(例えば、EC、FATF、US、UNおよびその他の国々を含む国際的な制裁を受ける対象国に居住し、又は制裁対象の個人に該当する場合、このプログラムに参加することはできません。 )
* いかなる場合にも、SpectroCoinは報酬の適性を含め、報告された脆弱性が重大でないと判断する裁量を持っています。脆弱性を提出することにより、上記の規則に従うことに同意したことになります。SpectroCoinとユーザーの安全性を守ってくれてありがとうございます!
報酬の額は、以下に基づいて増やすことができます。:

脆弱性を報告する方法

脆弱性のレポートを[email protected]に送付してください。パブリックPGPキー(以下で入手可能)を使用し、メッセージと添付ファイルを暗号化してください。脆弱性に関連するファイルや詳細は一般公開してはいけません。これには、公的にアクセス可能なウェブサイト(YouTube、Imgur、Pastebinなど)へのアップロードが含まれます。
脆弱性レポートでは、問題の再現と評価を可能にする詳細の段階的な概念実証を含める必要があります。たとえば、Web関連のレポートには少なくとも次のものが含まれている必要があります。
  • HTTPリクエスト/応答と影響を受けるパラメーター
  • スクリーンショットまたはビデオ(必要な場合)
  • ブラウザ(タイプ)、OS、デバイス、および/またはアプリケーションのバージョン
  • 脆弱性の影響についての説明
  • 問題の解決方法に関する提案(オプション)
脆弱性を報告
* ITチームが問題を再現して検証できない場合、報奨金は配分されません。
* 支払い用のBTC/ETH アドレスを記載してください。
メールアイコン

適正内 (範囲)

SpectroCoinが提供するiOSおよびAndroidのSpectroCoinアプリ、SpectroCoinウォレット、API、法人ツール、カード、取引所などのすべてのサービスが脆弱性報奨金制度の対象となります。
一般に、財務上の損失やデータ侵害の可能性がある脆弱性は、十分な重大性があるとみなされますが、必ずしもそうである必要はありません:
  • - クロスサイトリクエストフォージェリ(Cross-Site Request Forgery (CSRF))
  • - クロスサイトスクリプティング(Cross-Site Scripting (XSS))
  • - インジェクション攻撃(Code Injection)
  • - リモートでコードを実行(Remote Code Execution)
  • - 特権昇格(Privilege Escalation)
  • - 認証バイパス(Authentication Bypass)
  • - クリックジャッキング(Clickjacking)
  • - 機密データの漏洩(Leakage of Sensitive Data)

不適正 (範囲外)

一般に、次の脆弱性は重大性の基準値を満たしません。:
  • - メインのWebサイトに脆弱性を引き起こさない、サードパーティサイトの脆弱性。(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - パスワードの複雑さの要件(Password complexity requirements)
  • - セルフXSS(Self-XSS)
  • - Dos攻撃(DoS)(Denial of service (DoS))
  • - スパム(Spamming)
  • - ユーザビリティの問題(Usability issues)
  • - 旧式ブラウザやパッチの適用されていないブラウザに影響を及ぼす脆弱性(Vulnerabilities affecting outdated or unpatched browsers)
  • - SpectroCoinのAPIを使用するサードパーティアプリケーションの脆弱性(Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - エクスプロイタビリティ・デモンストレーションのない、自動ツールやスキャンによるレポート(Reports from automated tools or scans, without exploitability demonstration)
  • - 物理的な攻撃、ソーシャルエンジニアリング、フィッシングなどの非テクニカル攻撃など(Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - 報告済みの脆弱性(Bugs that have been already reported before)
  • - 把握している脆弱性(Bugs known to us)
  • - 再現性のない問題(Non-reproducible issues)

SpectroCoinとユーザーの安全に保つための助け

脆弱性を報告