Programa de
Caça aos Bugs

A SpectroCoin compreende a importância da segurança e de manter nossos usuários seguros. Embora nossa equipe de TI tenha tomado todas as medidas para encontrar possíveis bugs em nosso sistema, sempre existe uma pequena possibilidade de que alguns deles tenham passado despercebidos. Nós da SpectroCoin acreditamos que ao trabalharmos em conjunto com nossa comunidade podemos atingir os melhores resultados para ambas as partes. A SpectroCoin está organizando um programa de caça aos bugs, no qual você tem direito a uma recompensa caso reporte um bug elegível significativo.
Ícone mostrando aperto de mão

Divulgação Responsável

A divulgação responsável inclui, mas não está limitada a:
  • 1. Que você nos forneça uma quantidade razoável de tempo para resolver o problema antes que você o publique em outro lugar.
  • 2. Não violação da privacidade de outros usuários, destruição de dados ou interrupção de nossos serviços, etc (aja com boa fé).
  • 3. Não defraudar os usuários da SpectroCoin (você não interage com a conta de indivíduos, o que inclui modificar ou acessar dados da conta) ou a SpectroCoin em si no processo de descoberta.
  • 4. Para explorações que necessitam de acesso por meio de conta, você deve utilizar sua própria conta.
  • 5. Caso você acesse dados pessoais, nós pedimos que delete todas as informações relacionadas – incluindo, mas não limitadas a códigos de acesso, dados pessoais, etc, após sermos notificados.
  • 6. Se, no caso de um bug, você tenha sido capaz de acessar e/ou movimentar fundos da SpectroCoin, você se compromete a retornar a quantia total para a SpectroCoin.
* A fim de encorajar a divulgação responsável, nós não tomaremos medidas legais contra pesquisadores que apontarem um problema, desde que eles façam seu melhor para seguir as diretrizes acima.

Recompensas

A recompensa mínima para bugs elegíveis é o equivalente a 100 USD em Bitcoin ou Ethereum. Recompensas maiores podem ser atribuídas dependendo da severidade da vulnerabilidade reportada. Um relatório passo a passo (ou script da exploração) é mais que bem-vindo. Nós utilizamos a tabela a seguir como guia. A determinação final da quantia fica a nosso critério:
  • Bug
    Recompensa
  • Execução Remota de Código
    até $10.000
  • Manipulação significativa de saldo de conta
    até $5.000
  • XSS/CSRF/Clickjacking afetando ações sensíveis [1]
    até $3.500
  • Roubo de informação privilegiada [2]
    até $2.500
  • Bypass parcial de autenticação
    até $1.500
  • Outros XSS (excluindo Self-XSS)
    até $500
  • Outra vulnerabilidade com claro potencial de perda de fundos ou dados
    até $500
  • Outros CSRF (excluindo logout CSRF)
    até $100
[1] Ações sensíveis incluem: depósito, trading ou envio de dinheiro; ações OAuth ou API Key.
[2] Informações privilegiadas incluem: senhas, API keys, número de contas bancárias, número de segurança social ou equivalente.
Apenas vulnerabilidades desconhecidas e não relatadas são levadas em consideração para recompensas.
Nós damos apenas uma recompensa por bug. Caso múltiplos relatórios sejam submetidos sobre a mesma vulnerabilidade, nós recompensaremos apenas o primeiro relator (confira, por favor, a seção “Como Relatar um Bug").
Para receber uma recompensa, não devem haver obstáculos legais para tal (e.g. você não poderá participar desse programa caso seja residente ou um indivíduo localizado (a) em um país que aparece na lista de sanções internacionais, incluindo, mas não limitada a CE, GAFI[FATF], EUA, ONU).
* Em todo o caso, fica à discrição da SpectroCoin determinar uma vulnerabilidade reportada como insignificante, incluindo sua elegibilidade para uma recompensa!

Como Relatar um Bug

Envie seu relatório sobre o bug para [email protected]. Uma prova da existência da vulnerabilidade (capturas de tela/vídeo/script) é exigida. Esses arquivos não devem ser compartilhados publicamente. Isso inclue o upload em quaisquer websites acessíveis publicamente (i.e. YouTube, Imgur, etc).

As etapas de reprodução devem ser incluídas no relatório, incluindo:
  • - URL e parâmetros afetados
  • - Descrição do browser (tipo), OS, dispositivo e/ou versão do app
  • - Descrição do impacto percebido da vulnerabilidade
  • - Sugestões de como resolver o problema (opcional)
Relate um Bug
* Caso nossa equipe de TI não consiga reproduzir e verificar o problema, a recompensa não será concedida.
* Inclua seu endereço BTC/ETH para o pagamento.
Ícone com uma mensagem

Elegibilidade (Escopo)

Todos os serviços fornecidos pela SpectroCoin são elegíveis para nosso programa de caça aos bugs, incluindo os apps para iOS e Android da SpectroCoin, Carteira SpectroCoin, API, Ferramentas para Negócios, Cartões e Câmbio.
Em geral, vulnerabilidades que possuem potencial para perdas financeiras e violação de dados são consideradas de gravidade suficiente, incluindo, mas não necessariamente:
  • - Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • - Cross-Site Scripting (XSS)
  • - Injeção de Código (Code Injection)
  • - Execução Remota de Código (Remote Code Execution)
  • - Escalação de Privilégio (Privilege Escalation)
  • - Bypass de Autenticação (Authentication Bypass)
  • - Clickjacking
  • - Vazamento de Dados Sensíveis (Leakage of Sensitive Data)

Inelegibilidade (Fora de Escopo)

Em geral, as seguintes vulnerabilidades não atingirão o limiar de gravidade:
  • - Vulnerabilidades em sites hospedados por terceiros, a menos que elas levem a uma vulnerabilidade no website principal (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Requisitos de complexidade de senha (Password complexity requirements)
  • - Self-XSS
  • - Ataque de negação de serviço (Denial of service - DoS)
  • - Spamming
  • - Problemas de usabilidade (Usability issues)
  • - Vulnerabilidades afetando browsers desatualizados ou sem patches (Vulnerabilities affecting outdated or unpatched browsers)
  • - Vulnerabilidades em aplicações de terceiros que fazem uso da API da SpectroCoin (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Relatórios de ferramentas ou varreduras automatizadas, sem demonstrar a exploração (Reports from automated tools or scans, without exploitability demonstration)
  • - Ataques não-técnicos, tais como ataques físicos, engenharia social, phishing, etc (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Bugs que já foram relatados (Bugs that have been already reported before)
  • - Bugs que já conhecemos (Bugs known to us)
  • - Problemas não reprodutíveis (Non-reproducible issues)

Como manter a SpectroCoin e nossos usuários em segurança

Relate um Bug