SpectroCoin
Zaloguj sięZarejestruj się
  • BankeraBankera
  • SpectroCoin ExplorerSpectroCoin Explorer
PL
  • English (US)
  • العربية (AR)
  • Español(ES)
  • Français (FR)
  • Italiano (IT)
  • 日本語 (JA)
  • Lietuvių (LT)
  • Latviešu (LV)
  • Nederlands (NL)
  • 한국어 (KO)
  • Polski (PL)
  • Português (BR)
  • Português (PT)
  • Русский (RU)
  • 简体中文 (CN)
  • 繁體中文 (TW)

Program Bug Bounty

SpecrtoCoin jest zdeterminowany, aby zapewnić bezpieczne środowisko dla swoich użytkowników. Chociaż nasi specjaliści dokładają wszelkich starań, aby znaleźć każdą możliwą lukę w naszym systemie, zawsze istnieje niewielkie prawdopodobieństwo, że kilka z nich mogło zostać przeoczonych. Dlatego też zdecydowaliśmy się na wprowadzenie programu „Bug Bounty”. Każdy użytkownik SpectroCoin może wziąć udział w programie i otrzymać nagrody, za zgłaszanie błędów, które znajdzie w naszym systemie.

Nagrody

SpectroCoin nie ustalił maksymalnej opłaty za zgłoszone luki, więc większe nagrody mogą być wydawane za zgłoszenie błędów, których stwarzany poziom zagrożenia jest wysoki. Przedstawione nagrody są wstępne i ostateczna kwota nagrody pozostaje w naszej gestii. Wynagrodzenie będzie wypłacane w Bitcoin lub Ether.

Nagroda może być zwiększona ze względu na:

  • Jakość opisu. Nagrody mogą być podwyższone za dobrze i w przejrzysty sposób napisane raporty o błędach.
  • Jakość weryfikacji koncepcji. Większe nagrody mogą być wypłacane, jeśli dołączony jest kod testowy, skrypty i szczegółowe instrukcje.
  • Jakość sugestii dotyczącej poprawki błędu (jeśli jest dołączona). Większe nagrody magą być wypłacone, jeśli będą dołączone sugestie dotyczące poprawki błędów.
Niebieski żuk wektorowyKategoria podatności
Nagroda
Krytyczna$4,000 - $15,000
Wysoka$1,000 - $4,000
Średnia$200 - $1,000
Niskado $200
Nagrody są przyznawane tylko za nieznane i wcześniej niezgłaszane błędy.
Za jedną lukę płacimy jedną nagrodę. Jeśli kilka osób zgłasza tę samą lukę, nagrodzona zostanie osoba, która zgłosiła pierwsza.
Nie mogą istnieć żadne przeszkody prawne utrudniające otrzymanie nagrody (np. nie można uczestniczyć w tym programie, rezydentom lub osobom fizycznym znajdującym się w krajach podlegających sankcjom międzynarodowym, w tym między innymi WE, FATF, USA, ONZ).
W każdym przypadku, SpectroCoin ma prawo uznać zgłoszony błąd za nieistotny, w tym prawo do otrzymania nagrody. Zgłaszając błąd, użytkownik wyraża zgodę na przestrzeganie powyższych zasad.

Jak zgłosić błąd

  1. Raport o błędzie powinien zawierać szczegółowe instrukcje, które pozwolą nam odtworzyć i ocenić problem, np. raport dotyczący luk w stronie internetowej powinien zawierać co najmniej:
    • Żądania/odpowiedzi HTTP wraz z odnośnymi parametrami
    • Zrzuty ekranowe lub wideo (w razie potrzeby)
    • Opis przeglądarki (typu), systemu operacyjnego, wersji urządzenia i/lub aplikacji
    • Opis postrzeganego wpływu luki
    • Sugestie dotyczące rozwiązania problemu (opcjonalne)
  2. Nie udostępniaj publicznie żadnych plików i/lub szczegółów związanych z luką. Dotyczy to również przesyłania plików na dowolne publicznie dostępne strony internetowe (np. YouTube, Imgur, Pastebin, itp.).
  3. Zaszyfruj swoją wiadomość i wszelkie złączniki przy pomocy naszego klucza publicznego PGP (dostępny poniżej).
  4. Do płatności należy dołączyć swój adres BTC/ETH.
  5. Raporty wysyłaj na adres [email protected].

Jeśli nasz zespół ds. bezpieczeństwa IT nie będzie w stanie odtworzyć i zweryfikować problemu, nagroda nie zostanie przyznana.

Trzy niebieskie i żółte sześciany
Kopiuj klucz:
Zgłoś błąd

W zakresie programu

Wszystkie usługi świadczone przez SpectroCoin wchodzą w zakres naszego programu Bug Bounty, w tym aplikacje na iOS i Android SpectroCoin, portfel SpectroCoin, API, narzędzia handlowe, karty i giełda. Ogólnie rzecz biorąc, luki, które mogą spowodować straty finansowe lub naruszenie danych, są uważane za wystarczająco poważne, w tym, ale nie koniecznie:

  • Atak CSRF (ang. Cross-Site Request Forgery, CSRF)
  • Atak XSS (ang. Cross-Site Scripting, XSS)
  • Wstrzyknięcie kodu (ang. Code Injection)
  • Zdalne wykonanie kodu (ang. Remote Code Execution)
  • Eskalacja uprawnień (ang. Privilege Escalation)
  • Ominięcie uwierzytelniania (ang. Authentication Bypass)
  • Przechwytywanie kliknięć (ang. Clickjacking)
  • Wyciek poufnych danych (ang. Leakage of Sensitive Data)

Poza zakresem programu

Zazwyczaj następujące luki są poza zakresem programu:

  • Brak DNSSEC (ang. Lack of DNSSEC)
  • Wstrzyknięcie nagłówka hosta (ang. Host header injection) bez konkretnego i możliwego do udowodnienia wpływu
  • Eksploity Flasha (ang. Flash based exploits)
  • CSRF na formularzach, które nie wymagają uwierzytelniania lub na niewrażliwych działaniach
  • Przechwytywanie kliknięć (ang. Clickjacking) nas stronach, które nie wymagają wrażliwych działań
  • Luki wymagające ataku typu „Man-in-the-middle” lub fizycznego dostępu do przeglądarki internetowej użytkownika, konta e-mail, smartfona i problemów z urządzeniami rootowanymi/uwolnionymi

Odpowiedzialne ujawnianie informacji

Odpowiedzialne ujawnianie informacji obejmuje, ale nie ogranicza się do:

  1. Zapewnienia nam rozsądnej ilości czasu na naprawienie problemu przed opublikowaniem go w innym miejscu.
  2. Nienaruszania prywatności innych użytkowników, nie niszczenia jakichkolwiek danych lub zakłócania naszych usług, itp. (działanie w dobrej wierze).
  3. Nie oszukiwania użytkowników SpectroCoin (nie wchodzić w interakcję z osobistym kontem, co obejmuje modyfikowanie lub dostęp do danych z konta) lub SpectroCoin w procesie wykrywania błędów.
  4. W przypadku eksploitów, które wymagają dostępu do konta, użytkownik musi korzystać z własnego konta.
  5. W przypadku nieumyślnego uzyskania dostępu do danych prywatnych prosimy o usunięcie wszystkich związanych z tym informacji, w tym między innymi kodów dostępu, danych prywatnych itp.
  6. Jeżeli w przypadku wystąpienia błędu użytkownik uzyska dostęp i/lub przeniesie środki z SpectroCoin, użytkownik jest zobowiązany do zwrotu całej kwoty do SpectroCoin.
* Aby zachęcić do odpowiedzialnego ujawniania informacji, nie zamierzamy podejmować czynności prawnych przeciwko uczestników programu, którzy zgłaszają problem i przestrzegają powyższych wytycznych.
Sześcian we środku większego sześcianu

Pomóż nam zabezpieczyć SpectroCoin

Zgłoś błąd