Bug Bounty
Programma

SpectroCoin begrijpt het belang van veiligheid en houdt onze gebruikers veilig. Hoewel ons IT-team alle voorzorgsmaatregelen heeft genomen om mogelijke fouten in ons systeem te vinden, is er altijd een kleine kans dat een paar van hen over het hoofd zouden zijn gezien. Bij SpectroCoin geloven we dat hand in hand met onze gemeenschap de beste resultaten voor beide partijen kan opleveren. SpectroCoin voert een bug bounty-programma uit waarbij u recht heeft op een beloning als u een belangrijke in aanmerking komende bug meldt.
Handdruk

Verantwoordelijke Openbaring

Verantwoordelijke openbaarmaking omvat, maar is niet beperkt tot:
  • 1. Voorzie ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat het elders wordt gepubliceerd.
  • 2. Niet-schending van de privacy van andere gebruikers, vernietigen van gegevens of het verstoren van onze diensten, enz. (Te goeder trouw handelen).
  • 3. SpectroCoin-gebruikers niet bedriegen (u maakt geen interactie met een individueel account, inclusief het wijzigen of toegang verkrijgen tot gegevens van het account) of SpectroCoin zelf tijdens het ontdekkingsproces.
  • 4. Voor exploits waarvoor accounttoegang is vereist, moet u uw eigen account gebruiken.
  • 5. Als u onbedoeld toegang hebt tot privégegevens, vragen we u alle gerelateerde informatie te verwijderen, inclusief maar niet beperkt tot toegangscodes, privégegevens en dergelijke, nadat u ons hiervan op de hoogte hebt gesteld.
  • 6. Als u in het geval van een bug toegang tot en/of fondsen van SpectroCoin kunt hebben, verbindt u zich ertoe om het volledige bedrag terug te storten naar SpectroCoin.
* Om verantwoorde openbaarmaking te bevorderen, zullen we geen juridische stappen ondernemen tegen onderzoekers die wijzen op een probleem, op voorwaarde dat ze hun best doen om de bovenstaande richtlijnen te volgen.

Beloningen

De minimale beloning voor in aanmerking komende fouten is het equivalent van 100 USD in Bitcoin of Ethereum. Hogere beloningen kunnen worden toegewezen, afhankelijk van de ernst van de gemelde kwetsbaarheden. Een stapsgewijs rapport (of een exploit-script) is meer dan welkom. We gebruiken de volgende tabel als richtlijn. De bepaling van het definitieve bedrag blijft ter beoordeling van ons:
  • Bug
    Beloningen
  • Uitvoering van externe code
    tot $10,000
  • Aanzienlijke manipulatie van rekeningsaldo
    tot $5,000
  • XSS / CSRF / Clickjacking met betrekking tot gevoelige acties [1]
    tot $3,500
  • Diefstal van vertrouwelijke informatie [2]
    tot $2,500
  • Gedeeltelijke verificatie-bypass
    tot $1,500
  • Andere XSS (exclusief Self-XSS)
    tot $500
  • Andere kwetsbaarheid met duidelijk potentieel voor financiële of gegevensverlies
    tot $500
  • Overige CSRF (exclusief afmelden CSRF)
    tot $100
[1] Gevoelige acties omvatten: storten, verhandelen of versturen van geld; OAuth- of API-kernacties.
[2] Bevoorrechte informatie omvat: wachtwoorden, API-sleutels, bankrekeningnummers, sofinummers of gelijkwaardig.
Alleen onbekende en voorheen niet-gemelde beveiligingslekken worden overwogen voor beloningen.
We belonen slechts één bounty per bug. Als er meerdere rapporten voor hetzelfde beveiligingslek worden ingediend, belonen we alleen de eerste reporter (lees het gedeelte 'Een bug melden').
Om een beloning te ontvangen, mag er geen juridisch obstakel zijn om dit te doen (u mag bijvoorbeeld niet deelnemen aan dit programma als u een inwoner of persoon bent die gevestigd is in een land met internationale sancties, waaronder, maar niet beperkt tot, de Europese Unie, de FATF, de VS, VN.)
* In elk geval heeft SpectroCoin het recht om een gerapporteerde kwetsbaarheid als onbeduidend te bepalen, inclusief het in aanmerking komen voor een beloning. Door een bug in te dienen, gaat u ermee akkoord om de bovenstaande regels te volgen. Bedankt voor het veilig houden van SpectroCoin en onze gebruikers!

Hoe een bug te melden

Stuur uw bugrapport naar [email protected]. Een bewijs van de bestaande kwetsbaarheid (screenshots / video / script) is vereist. Deze bestanden mogen niet openbaar worden gedeeld. Dit omvat het uploaden naar alle publiekelijk toegankelijke websites (zoals YouTube, Imgur, etc.).

Reproductional steps must be provided in the bug report including:
  • - URL en beïnvloedde parameters
  • - Beschrijving van de browser (type), besturingssysteem, apparaat en / of app-versie
  • - Beschrijving van de waargenomen impact van de kwetsbaarheid
  • - Suggesties voor het oplossen van het probleem (optioneel).
Rapporteer bug
* Als ons IT-team het probleem niet kan reproduceren en verifiëren, wordt de premie niet toegewezen.
* Vermeld uw BTC / ETH-adres voor betaling.
Mailicoon

Geschiktheid (Scope)

Alle services die door SpectroCoin worden aangeboden komen in aanmerking voor ons bug bounty-programma, inclusief de iOS- en Android SpectroCoin-apps, SpectroCoin Wallet, API, Merchant Tools, Cards en Exchange.
Over het algemeen worden kwetsbaarheden met potentieel voor financieel verlies of datalekken voldoende streng geacht, inclusief maar niet noodzakelijkerwijs:
  • - Cross-Site Request Forgery (CSRF)
  • - Cross-Site Scripting (XSS)
  • - Code injectie (Code Injection)
  • - Uitvoering van externe code (Remote Code Execution)
  • - Privilege escalatie (Privilege Escalation)
  • - Verificatie-bypass (Authentication Bypass)
  • - Clickjacking
  • - Lekkage van gevoelige gegevens (Leakage of Sensitive Data)

Onverkiesbaarheid (buiten bereik)

Over het algemeen voldoen de volgende kwetsbaarheden niet aan de ernst drempel:
  • - Kwetsbaarheden op sites die door derden worden gehost, tenzij ze leiden tot een kwetsbaarheid op de hoofdwebsite (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Vereisten voor wachtwoordcomplexiteit (Password complexity requirements)
  • - Self-XSS
  • - Denial of service (DoS)
  • - spammen (Spamming)
  • - Bruikbaarheidsproblemen (Usability issues)
  • - Kwetsbaarheden die van toepassing zijn op verouderde of ongepatchte browsers (Vulnerabilities affecting outdated or unpatched browsers)
  • - Kwetsbaarheden in applicaties van derden die gebruik maken van de SpectroCoin API (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Rapporten van geautomatiseerde hulpmiddelen of scans, zonder demonstratie van misbruik (Reports from automated tools or scans, without exploitability demonstration)
  • - Niet-technische aanvallen, zoals fysieke aanval, social engineering, phishing, enz. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Bugs die al eerder zijn gemeld (Bugs that have been already reported before)
  • - Bugs die we kennen (Bugs known to us)
  • - Niet-reproduceerbare problemen (Non-reproducible issues)

Help om SpectroCoin en onze gebruikers veilig te houden

Rapporteer bug