Programa de
Caça aos Bugs

A SpectroCoin compreende a importância da segurança e de manter nossos usuários seguros. Embora nossa equipe de TI tenha tomado todas as medidas para encontrar possíveis bugs em nosso sistema, sempre existe uma pequena possibilidade de que alguns deles tenham passado despercebidos. Nós da SpectroCoin acreditamos que ao trabalharmos em conjunto com nossa comunidade podemos atingir os melhores resultados para ambas as partes. A SpectroCoin está organizando um programa de caça aos bugs, no qual você tem direito a uma recompensa caso reporte um bug elegível significativo.
Ícone mostrando aperto de mão

Divulgação Responsável

A divulgação responsável inclui, mas não está limitada a:
  • 1. Que você nos forneça uma quantidade razoável de tempo para resolver o problema antes que você o publique em outro lugar.
  • 2. Não violação da privacidade de outros usuários, destruição de dados ou interrupção de nossos serviços, etc (aja com boa fé).
  • 3. Não defraudar os usuários da SpectroCoin (você não interage com a conta de indivíduos, o que inclui modificar ou acessar dados da conta) ou a SpectroCoin em si no processo de descoberta.
  • 4. Para explorações que necessitam de acesso por meio de conta, você deve utilizar sua própria conta.
  • 5. Caso você acesse dados pessoais, nós pedimos que delete todas as informações relacionadas – incluindo, mas não limitadas a códigos de acesso, dados pessoais, etc, após sermos notificados.
  • 6. Se, no caso de um bug, você tenha sido capaz de acessar e/ou movimentar fundos da SpectroCoin, você se compromete a retornar a quantia total para a SpectroCoin.
* A fim de encorajar a divulgação responsável, nós não tomaremos medidas legais contra pesquisadores que apontarem um problema, desde que eles façam seu melhor para seguir as diretrizes acima.

Recompensas

A SpectroCoin não estabeleceu a recompensa máxima para vulnerabilidades de segurança reportadas. A recompensa para problemas de segurança elegíveis será paga em Bitcoin ou Ether. Recompensas maiores podem ser atribuídas dependendo da severidade da vulnerabilidade reportada. Nós utilizamos a tabela a seguir como guia, mas a determinação da quantia final fica a nosso critério:
  • Bug
    Recompensa
  • Crítico
    $4.000 - $15.000
  • Alto
    $1.000 - $4.000
  • Médio
    $200 - $1.000
  • Baixo
    até $200
Apenas vulnerabilidades desconhecidas e não relatadas são levadas em consideração para recompensas.
Nós damos apenas uma recompensa por bug. Caso múltiplos relatórios sejam submetidos sobre a mesma vulnerabilidade, nós recompensaremos apenas o primeiro relator (confira, por favor, a seção "Como Relatar um Bug").
Para receber uma recompensa, não devem haver obstáculos legais para tal (por exemplo, você não poderá participar desse programa caso seja residente ou um indivíduo localizado (a) em um país que aparece na lista de sanções internacionais, incluindo, mas não limitada a CE, GAFI[FATF], EUA, ONU).
* Em todo o caso, fica à discrição da SpectroCoin determinar uma vulnerabilidade reportada como insignificante, incluindo sua elegibilidade para uma recompensa! Ao relatar um bug, você concorda em seguir as regras acima. Agradecemos por manter a SpectroCoin e nossos usuários em segurança!
O valor da recompensa pode aumentar de acordo com:

Como Relatar um Bug

Envie seu relatório sobre o bug para [email protected]. Por favor, criptografe sua mensagem e anexos utilizando nossa chave PGP pública (disponível abaixo). Não compartilhe publicamente nenhum arquivo e/ou detalhes relacionados à vulnerabilidade. Isso inclui o upload em quaisquer websites acessíveis publicamente (por exemplo, YouTube, Imgur, Pastebin, etc).
Os relatórios devem incluir uma detalhada prova de conceito passo a passo que nos permita reproduzir e avaliar o problema. Por exemplo, relatórios relacionados ao site devem conter, pelo menos:
  • Solicitações/respostas HTTP e os parâmetros afetados
  • Screenshots ou vídeos (se necessário)
  • Descrição do browser (tipo), sistema operacional, aparelho e/ou versão do aplicativo
  • Descrição do impacto percebido da vulnerabilidade
  • Sugestões de como resolver o problema (opcional)
Relate um Bug
* Caso nossa equipe de TI não consiga reproduzir e verificar o problema, a recompensa não será concedida.
* Inclua seu endereço BTC/ETH para o pagamento.
Ícone com uma mensagem

Elegibilidade (Escopo)

Todos os serviços fornecidos pela SpectroCoin são elegíveis para nosso programa de caça aos bugs, incluindo os apps para iOS e Android da SpectroCoin, Carteira SpectroCoin, API, Ferramentas para Negócios, Cartões e Câmbio.
Em geral, vulnerabilidades que possuem potencial para perdas financeiras e violação de dados são consideradas de gravidade suficiente, incluindo, mas não necessariamente:
  • - Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • - Cross-Site Scripting (XSS)
  • - Injeção de Código (Code Injection)
  • - Execução Remota de Código (Remote Code Execution)
  • - Escalação de Privilégio (Privilege Escalation)
  • - Bypass de Autenticação (Authentication Bypass)
  • - Clickjacking
  • - Vazamento de Dados Sensíveis (Leakage of Sensitive Data)

Inelegibilidade (Fora de Escopo)

Em geral, as seguintes vulnerabilidades não atingirão o limiar de gravidade:
  • - Vulnerabilidades em sites hospedados por terceiros, a menos que elas levem a uma vulnerabilidade no website principal (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Requisitos de complexidade de senha (Password complexity requirements)
  • - Self-XSS
  • - Ataque de negação de serviço (Denial of service - DoS)
  • - Spamming
  • - Problemas de usabilidade (Usability issues)
  • - Vulnerabilidades afetando browsers desatualizados ou sem patches (Vulnerabilities affecting outdated or unpatched browsers)
  • - Vulnerabilidades em aplicações de terceiros que fazem uso da API da SpectroCoin (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Relatórios de ferramentas ou varreduras automatizadas, sem demonstrar a exploração (Reports from automated tools or scans, without exploitability demonstration)
  • - Ataques não-técnicos, tais como ataques físicos, engenharia social, phishing, etc (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Bugs que já foram relatados (Bugs that have been already reported before)
  • - Bugs que já conhecemos (Bugs known to us)
  • - Problemas não reprodutíveis (Non-reproducible issues)

Como manter a SpectroCoin e nossos usuários em segurança

Relate um Bug