Surask klaidą programa
SpectroCoin supranta saugumo svarbą ir rūpinasi savo klientais. Nors mūsų IT komanda imasi visų saugumo užtikrinimo priemonių, kad rastų galimas klaidas mūsų sistemoje, visada yra nedidelė galimybė, jog keletas jų galėjo būti nepastebėtos. SpectroCoin tiki, kad dirbant kartu su mūsų bendruomene galime pasiekti geriausius rezultatus, todėl pristatome jums „Surask klaidą“ programą. Jei pranešite apie reikšmingą klaidą, rastą mūsų sistemoje, gausite atlygį.
Atlygis
SpectroCoin nėra nustatę maksimalaus atlygio už praneštus saugumo pažeidimus. Didesni atlygiai gali būti skiriami priklausomai nuo praneštų pažeidžiamumų sunkumo laipsnio. Pateikti atlygiai yra preliminarūs. Galutinė suma išlieka mūsų nuožiūroje. Atlygis už tinkamas saugumo problemas bus mokamas Bitcoin arba Ether kriptovaliutomis.
Atlygio suma gali būti padidinta remiantis:
- Aprašymo kokybe. Didesnis atlygis gali būti mokamas už aiškias, gerai surašytas klaidų ataskaitas.
- Įrodymo pagrindimu. Didesnis atlygis gali būti mokamas, jei pridedamas testavimo kodas, rašytiniai pagrindimai ir išsamios instrukcijos.
- Sprendimo tinkamumu, jei toks yra įtrauktas. Didesnis atlygis gali būti mokamas, jei pateikiami pasiūlymai, kaip išspręsti problemą.
Klaida | Atlygis |
---|---|
Kritinė | $4,000 - $15,000 |
Svarbi | $1,000 - $4,000 |
Vidutinė | $200 - $1,000 |
Nesvarbi | iki $200 |
Už vieną pažeidimą išmokame tik vieną atlygį. Jeigu apie tą pačią klaidą buvo nurodyta kelis kartus, atlygį gali gauti tik pirmasis pranešęs apie pažeidimą (prašome patikrinti skiltį „Kaip pranešti apie klaidą“).
Norint gauti atlygį, neturi būti jokių teisinių kliūčių (pvz., Jūs negalite dalyvauti šioje programoje, jei esate gyventojas arba esate šalyje, kuri yra tarptautinių sankcijų sąraše, įskaitant, bet neapsiribojant, EB, FATF, JAV, JT.).
Bet kokiu atveju, SpectroCoin pasilieka teisę praneštą pažeidžiamumą nustatyti kaip nereikšmingą, įskaitant jo tinkamumą į atlygį. Pranešdami klaidą, Jūs sutinkate laikytis aukščiau nurodytų taisyklių.
Kaip pranešti apie klaidą
-
Pranešime apie klaidą turi būti pateikti išsamūs nurodymai, kurie leistų mums atkartoti ir įvertinti problemą. Pavyzdžiui, su svetaine susijusių pažeidžiamumų ataskaitoje turėtų būti bent jau:
- Nuoroda ir paveikti parametrai
- Ekrano nuotraukos arba vaizdo įrašai (jei reikalingi)
- Naršyklės (tipas), OS, įrenginio ir (arba) programos versijos aprašas
- Pažeidimo poveikio sistemai apibūdinimas
- Pasiūlymai, kaip išspręsti problemą (neprivaloma)
- Neskelbkite viešai jokių failų ir (arba) informacijos, susijusios su pažeidžiamumu. Tai apima įkėlimą į visas viešai prieinamas svetaines (pvz., YouTube, Imgur ir t.t.).
- Prašome užšifruoti savo pranešimą ir jo priedus su mūsų viešuoju PGP raktu (pateiktas žemiau).
- Nurodykite savo BTC/ETH adresą, į kurį turi būti atliktas mokėjimas.
- Išsiųskite savo klaidos pranešimą į [email protected].
Jei mūsų IT komanda negalės atkurti ir patikrinti problemos, atlygis nebus išmokamas.
Tinkamas (atlygis taikomas)
Visos SpectroCoin teikiamos paslaugos - SpectroCoin iOS ir Android mobiliosios programėlės, SpectroCoin piniginė, API, verslo įrankiai, kortelės bei keitykla - yra įtrauktos į "Surask klaidą programą". Klaidos ir pažeidimai, kurie gali sukelti finansinių nuostolių, sudaryti prieigą prie duomenų, yra laikomi tinkamais ir patenka į apmokamų klaidų kategoriją:
- Vieno spragtelėjimo ataka ar sesijos užvaldymas (Cross-Site Request Forgery (CSRF))
- Kryžminė svetainės ataka (Cross-Site Scripting (XSS))
- Kodo injekcija (Code Injection)
- Nuotolinis kodo valdymas (Remote Code Execution)
- Privilegijos eskalavimas (Privilege Escalation)
- Autentifikavimo sistemos apėjimas (Authentication Bypass)
- Vartotojo sąsajos ataka (Clickjacking)
- Jautrių duomenų nutekinimas (Leakage of Sensitive Data)
Netinkamas (atlygis netaikomas)
Šios klaidos ir pažeidžiamumai nepatenka į apmokamų klaidų kategoriją:
- DNSSEC stoka (Lack of DNSSEC)
- Svetainės antraštės injekcijos be konkretaus ar akivaizdaus poveikio (Host header injections without a specific and demonstrable impact)
- „Flash“ eksploitai (Flash based exploits)
- CSRF anketose, kurioms nereikia autentifikavimo, arba kurių pildymas nereikalauja jokių „jautrių“ veiksmų (CSRF on forms that require no authentication or on non sensitive actions)
- Vartotojo sąsajos ataka puslapiuose, kurie nereikalauja jokių „jautrių“ veiksmų (Clickjacking on pages with no sensitive actions)
- Pažeidžiamumai, kurie reikalauja MITM atakos, kai įsiterpiama į dviejų pusių bendravimą, joms to nežinant, ar fizinės prieigos prie vartotojo naršyklės, el. pašto paskyros, išmaniojo telefono ir problemos, susijusios su įsišaknijusiais / nulaužtais įrenginiais (Vulnerabilities that require Man-in-the-middle attack (MITM), or physical access to a user’s web browser, email account, smartphone and issues on rooted/jailbroken devices)
Atsakingas atskleidimas
Atsakingas atskleidimas apima (bet tuo neapsiribojama):
- Suteikti mums užtektinai laiko išspręsti problemą prieš jos paskelbimą kitur.
- Nepažeisti kitų klientų privatumo - nenaikinti sistemos duomenų ir netrikdyti paslaugų vykdymo ir t. t. (veikti sąžiningai).
- Neapgaudinėti SpectroCoin vartotojų (nesąveikauti su individualiomis paskyromis, įskaitant pakeitimus ar prieigą prie duomenų iš paskyros) ar SpectroCoin klaidos atradimo proceso metu.
- Ieškodami klaidų, kurios yra susijusios su prieiga prie paskyros, turite naudoti savo paskyrą.
- Jeigu sugebėsite pasiekti privačius duomenis, prašome pranešti mums ir ištrinti visą susijusią informaciją, įskaitant, bet neapsiribojant, prieigos kodus, asmeninius duomenis ir t. t.
- Jei radote klaidą, kuri leido jums pasiekti ir / arba perkelti lėšas iš SpectroCoin, jūs įsipareigojate grąžinti visą sumą SpectroCoin.