Bug Bounty
Programma

SpectroCoin begrijpt het belang van veiligheid en houdt onze gebruikers veilig. Hoewel ons IT-team alle voorzorgsmaatregelen heeft genomen om mogelijke fouten in ons systeem te vinden, is er altijd een kleine kans dat een paar van hen over het hoofd zouden zijn gezien. Bij SpectroCoin geloven we dat hand in hand met onze gemeenschap de beste resultaten voor beide partijen kan opleveren. SpectroCoin voert een bug bounty-programma uit waarbij u recht heeft op een beloning als u een belangrijke in aanmerking komende bug meldt.
Handdruk

Verantwoordelijke Openbaring

Verantwoordelijke openbaarmaking omvat, maar is niet beperkt tot:
  • 1. Voorzie ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat het elders wordt gepubliceerd.
  • 2. Niet-schending van de privacy van andere gebruikers, vernietigen van gegevens of het verstoren van onze diensten, enz. (Te goeder trouw handelen).
  • 3. SpectroCoin-gebruikers niet bedriegen (u maakt geen interactie met een individueel account, inclusief het wijzigen of toegang verkrijgen tot gegevens van het account) of SpectroCoin zelf tijdens het ontdekkingsproces.
  • 4. Voor exploits waarvoor accounttoegang is vereist, moet u uw eigen account gebruiken.
  • 5. Als u onbedoeld toegang hebt tot privégegevens, vragen we u alle gerelateerde informatie te verwijderen, inclusief maar niet beperkt tot toegangscodes, privégegevens en dergelijke, nadat u ons hiervan op de hoogte hebt gesteld.
  • 6. Als u in het geval van een bug toegang tot en/of fondsen van SpectroCoin kunt hebben, verbindt u zich ertoe om het volledige bedrag terug te storten naar SpectroCoin.
* Om verantwoorde openbaarmaking te bevorderen, zullen we geen juridische stappen ondernemen tegen onderzoekers die wijzen op een probleem, op voorwaarde dat ze hun best doen om de bovenstaande richtlijnen te volgen.

Beloningen

SpectroCoin heeft geen maximale beloning ingesteld voor gerapporteerde beveiligingslekken. De beloning voor in aanmerking komende beveiligingsproblemen wordt betaald in Bitcoin of Ether. Hogere beloningen kunnen worden toegewezen, afhankelijk van de ernst van de gemelde kwetsbaarheden. We gebruiken de volgende tabel als richtlijn, maar het bepalen van het uiteindelijke bedrag blijft naar eigen goeddunken.
  • Bug
    Beloning
  • Critical
    $4,000 - $15,000
  • Hoog
    $1,000 - $4,000
  • Medium
    $200 - $1,000
  • Laag
    up to $200
Alleen onbekende en eerder niet-gerapporteerde kwetsbaarheden komen in aanmerking voor beloningen.
We belonen slechts één premie per bug. Als er meerdere rapporten worden ingediend voor dezelfde kwetsbaarheid, belonen we alleen de eerste reporter (raadpleeg het gedeelte 'Een bug melden').
Om een beloning te ontvangen, mag dit geen juridisch obstakel zijn (u mag bijvoorbeeld niet deelnemen aan dit programma als u een inwoner of individu bent in een land waarvoor internationale sancties gelden, maar niet beperkt tot EC, FATF , VS, VN.)
* SpectroCoin heeft in elk geval de vrijheid om een gerapporteerde kwetsbaarheid als onbeduidend te bepalen, inclusief de geschiktheid voor de beloning. Door een bug in te dienen, stemt u ermee in de bovenstaande regels te volgen. Bedankt voor het veilig houden van SpectroCoin en onze gebruikers!
Het bedrag van de beloning kan worden verhoogd op basis van:

Hoe een bug te melden

Stuur uw kwetsbaarheidsrapporten naar [email protected]. Versleutel uw bericht en eventuele bijlagen met behulp van onze openbare PGP-sleutel (hieronder beschikbaar). Deel geen bestanden en / of details met betrekking tot het beveiligingslek openbaar. Dit omvat uploads naar openbaar toegankelijke websites (d.w.z. YouTube, Imgur, Pastebin, etc.)
Bugrapporten moeten een gedetailleerde stap-voor-stap proof of concept bevatten waarmee we het probleem kunnen reproduceren en evalueren. Webgerelateerde rapporten moeten bijvoorbeeld ten minste het volgende bevatten:
  • HTTP verzoeken/antwoorden samen met betrokken parameters
  • Screenshots of video's (indien nodig)
  • Beschrijving van de browser (type), OS, apparaat- en/of app-versie
  • Beschrijving van de waargenomen impact van het beveiligingslek
  • Suggesties voor het oplossen van het probleem (optioneel)
Rapporteer bug
* Als ons IT-team het probleem niet kan reproduceren en verifiëren, wordt de premie niet toegewezen.
* Vermeld uw BTC / ETH-adres voor betaling.
Mailicoon

Geschiktheid (Scope)

Alle services die door SpectroCoin worden aangeboden komen in aanmerking voor ons bug bounty-programma, inclusief de iOS- en Android SpectroCoin-apps, SpectroCoin Wallet, API, Merchant Tools, Cards en Exchange.
Over het algemeen worden kwetsbaarheden met potentieel voor financieel verlies of datalekken voldoende streng geacht, inclusief maar niet noodzakelijkerwijs:
  • - Cross-Site Request Forgery (CSRF)
  • - Cross-Site Scripting (XSS)
  • - Code injectie (Code Injection)
  • - Uitvoering van externe code (Remote Code Execution)
  • - Privilege escalatie (Privilege Escalation)
  • - Verificatie-bypass (Authentication Bypass)
  • - Clickjacking
  • - Lekkage van gevoelige gegevens (Leakage of Sensitive Data)

Onverkiesbaarheid (buiten bereik)

Over het algemeen voldoen de volgende kwetsbaarheden niet aan de ernst drempel:
  • - Kwetsbaarheden op sites die door derden worden gehost, tenzij ze leiden tot een kwetsbaarheid op de hoofdwebsite (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Vereisten voor wachtwoordcomplexiteit (Password complexity requirements)
  • - Self-XSS
  • - Denial of service (DoS)
  • - spammen (Spamming)
  • - Bruikbaarheidsproblemen (Usability issues)
  • - Kwetsbaarheden die van toepassing zijn op verouderde of ongepatchte browsers (Vulnerabilities affecting outdated or unpatched browsers)
  • - Kwetsbaarheden in applicaties van derden die gebruik maken van de SpectroCoin API (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Rapporten van geautomatiseerde hulpmiddelen of scans, zonder demonstratie van misbruik (Reports from automated tools or scans, without exploitability demonstration)
  • - Niet-technische aanvallen, zoals fysieke aanval, social engineering, phishing, enz. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Bugs die al eerder zijn gemeld (Bugs that have been already reported before)
  • - Bugs die we kennen (Bugs known to us)
  • - Niet-reproduceerbare problemen (Non-reproducible issues)

Help om SpectroCoin en onze gebruikers veilig te houden

Rapporteer bug