Surask klaidą
programa

SpectroCoin supranta saugumo svarbą ir rūpinasi savo klientais. Nors mūsų IT komanda imasi visų saugumo užtikrinimo priemonių, kad rastų galimas klaidas mūsų sistemoje, visada yra nedidelė galimybė, kad keletas iš jų galėjo būti nepastebėtos. SpectroCoin tiki, kad dirbant kartu su mūsų bendruomene galime pasiekti geriausius rezultatus, todėl pristatome Jums "Surask klaidą programą". Jūs turite teisę gauti atlygį, jei pranešite mums apie reikšmingą klaidą mūsų sistemoje!
Rankų paspaudimo ikona

Atsakingas atskleidimas

Atsakingas atskleidimas apima (bet tuo neapsiribojama):
  • 1. Suteikti mums užtektinai laiko išspręsti problemą prieš jos paskelbimą kitur.
  • 2. Nepažeisti kitų klientų privatumo - nenaikinti sistemos duomenų ir netrikdyti paslaugų vykdymo ir t. t. (veikti sąžiningai).
  • 3. Neapgaudinėti SpectroCoin vartotojų (Jūs nesąveikaujat su individualia paskyra, kuri apima pakeitimus ar prieigą prie duomenų iš paskyros) ar SpectroCoin klaidos atradimo procese.
  • 4. Ieškodami klaidų, kurios yra susijusios su prieiga prie paskyros, turite naudoti savo paskyrą.
  • 5. Jeigu sugebėsite pasiekti privačius duomenis, prašome pranešti mums ir ištrinti visą susijusią informaciją, įskaitant, bet neapsiribojant, prieigos kodus, asmeninius duomenis ir t. t.
  • 6. Jei, radote klaidą, kuri leido jums pasiekti ir / arba perkelti lėšas iš "SpectroCoin", Jūs įsipareigojate grąžinti visą sumą SpectroCoin.
* Siekdami paskatinti atsakingą atskleidimą, mes nesiimsime teisinių veiksmų prieš programos dalyvius, kurie nurodo problemą bei laikosi aukščiau nurodytų gairių.

Atlygis

Mažiausias atlygis už tinkamų klaidų pranešimą yra lygus 100 USD. Atlygis išmokamas bitcoin arba Ether kriptovaliutomis. Didesni atlygiai gali būti skiriami priklausomai nuo praneštų pažeidžiamumų. Ataskaitinė ataskaita (arba išnaudojimo kodas) yra daugiau nei sveikintina. Pateikti atlygiai yra preliminarūs. Galutinės sumos nustatymas išlieka mūsų nuožiūroje:
  • Klaida
    Atlygis
  • Nuotolinis kodo valdymas
    iki $10,000
  • Sąskaitos balanso manipuliacija
    iki $5000
  • XSS/CSRF/Vartotojo sąsajos ataka daro įtaką sistemos funkcionalumui [1]
    iki $3,500
  • Privilegijuotos informacijos vagystė [2]
    iki $2,500
  • Dalinis Autentifikavimo sistemos apėjimas
    iki $1,500
  • Kiti XSS (išskyrus Self-XSS)
    iki $500
  • Kiti pažeidžiamumai, turintys aiškų finansinių ar duomenų praradimo potencialą
    iki $500
  • Kiti CSRF (išskyrus atsijungimo CSRF)
    iki $100
[1] Sistemos funkcionalumas apima: lėšų įnešimą, prekybą ar siuntimą; OAuth ar API raktų veiksmus.
[2] Privilegijuotos informacijos vagystė apima: slaptažodžius, API raktus, banko sąskaitų numerius, socialinio draudimo numerius ir pan.
Atlygis išmokamas tik už nežinomus ir anksčiau nepraneštus pažeidžiamumus.
Mes išmokame atlygį už vieną klaidą. Jei už tą patį pažeidžiamumą bus pateikiamos kelios ataskaitos, mes išmokėsime atlygį tik už pirmąjį klaidos pranešimą (žr. Skiltį "Kaip pranešti apie klaidą").
Norint gauti atlygį, neturi būti jokių teisinių kliūčių (pvz., Jūs negalite dalyvauti šioje programoje, jei esate gyventojas arba esate šalyje, kuri yra tarptautinių sankcijų sąraše, įskaitant, bet neapsiribojant, EB, FATF, JAV, JT.)
* Bet kokiu atveju, SpectroCoin pasilieką teisę praneštą pažeidžiamumą nustatyti kaip nereikšmingą, įskaitant jo tinkamumą į atlygį. Pranešdami klaidą, Jūs sutinkate laikytis aukščiau nurodytų taisyklių. Dėkojame, kad prisidedate prie SpectroCoin ir mūsų vartotojų saugumo!

Kaip pranešti apie klaidą

Išsiųskite savo klaidos pranešimą į [email protected]. Jūs turite įrodyti esamą pažeidžiamumą - pateikti momentines ekrano kopijas / vaizdo įrašą / kodą. Šie failai neturėtų būti naudojami viešai. Tai apima įkėlimą į visas viešai prieinamas svetaines (pvz., YouTube, Imgur ir t.t.).

Pranešime apie klaidą turi būti pateikti reprodukciniai žingsniai, įskaitant:
  • - Nuoroda ir paveikti parametrai
  • - Naršyklės (tipas), OS, įrenginio ir (arba) programos versijos aprašas
  • - Pažeidimo poveikio sistemai apibūdinimas
  • - Pasiūlymai, kaip išspręsti problemą (neprivalomas)
Pranešk apie klaidą
* Jei mūsų IT komanda negalės atkurti ir patikrinti problemos, atlygis nebus išmokamas.
* Nurodykite savo BTC/ETH adresą į kurį turi būti atliktas mokėjimas.
El. pašto ikona

Tinkamas (atlygis taikomas)

Visos SpectroCoin teikiamos paslaugos - SpectroCoin iOS ir Android mobiliosios programėlės, SpectroCoin piniginė, API, verslo įrankiai, kortelės bei keitykla - yra įtrauktos į "Surask klaidą programą".
Klaidos ir pažeidimai, kurie gali sukelti finansinių nuostolių, sudaryti prieigą prie duomenų, yra laikomi tinkamais ir patenka į apmokamų klaidų kategoriją:
  • - Vieno spragtelėjimo ataka ar sesijos užvaldymas (Cross-Site Request Forgery (CSRF))
  • - Kryžminė svetainės ataka (Cross-Site Scripting (XSS))
  • - Kodo injekcija (Code Injection)
  • - Nuotolinis kodo valdymas (Remote Code Execution)
  • - Privilegijos eskalavimas (Privilege Escalation)
  • - Autentifikavimo sistemos apėjimas (Authentication Bypass)
  • - Vartotojo sąsajos ataka (Clickjacking)
  • - Jautrių duomenų nutekinimas (Leakage of Sensitive Data)

Netinkamas (atlygis netaikomas)

Šios klaidos ir pažeidžiamumai nepatenka į apmokamų klaidų kategoriją:
  • - Klaidos trečiųjų šalių svetainėse, nebent jie sukelia pažeidimus pagrindinėje svetainėje (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Slaptažodžio sudėtingumo reikalavimai (Password complexity requirements)
  • - Kenkėjiškas kodas (Self-XSS)
  • - Aptarnavimo perkrovos ataka (DoS) (Denial of service (DoS))
  • - Brukalas (Spamming)
  • - Vartojimo problemos (Usability issues)
  • - Pažeidimai, kylantys dėl pasenusių ar nepatvirtintų naršyklių (Vulnerabilities affecting outdated or unpatched browsers)
  • - Trečiųjų šalių programinės įrangos, kurios naudoja SpectroCoin API, pažeidimai (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Ataskaitos iš automatizuotų įrankių, be eksploatacinių savybių įrodymo (Reports from automated tools or scans, without exploitability demonstration)
  • - Ne techniniai išpuoliai, pvz., fizinis išpuolis, socialinė inžinerija, sukčiavimas ir pan. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Klaidos, apie kurias jau buvo pranešta anksčiau (Bugs that have been already reported before)
  • - Mums žinomos klaidos (Bugs known to us)
  • - Klaidos, kurių neišeina atkartoti (Non-reproducible issues)

Prisidėk prie SpectroCoin ir kitų klientų saugumo

Pranešk apie klaidą