SpectroCoin

Programa de recompensa bug

A SpectroCoin está determinada a garantir um ambiente seguro para os seus utilizadores. Apesar dos nossos especialistas TI fazerem o seu melhor para encontrar quaisquer possíveis vulnerabilidades na nossa plataforma, há sempre a pequena hipótese de algumas passarem despercebidas. Por isso, decidimos introduzir um programa de recompensa bug. Todos os utilizadores da SpectroCoin podem participar no programa e receber prémios ao reportar os bugs que encontrem no nosso sistema.

Prémios

A SpectroCoin não definiu um valor máximo para as vulnerabilidades reportadas — prémios mais altos podem ser alocados, dependendo a gravidade do bug reportado. Distribuímos as recompensas de acordo com as seguintes diretrizes, contudo, a determinação do valor final fica ao nosso critério. Os prémios para bugs elegíveis são pagos em Bitcoin ou Ether.

O valor da recompensa poderá ser maior, dependendo da:

  • Qualidade da descrição. Serão pagas recompensas maiores a relatórios claros e bem escritos.
  • Qualidade da prova de conceito. Serão pagas recompensas maiores quando é incluído código, scripts e instruções aprofundadas dos testes.
  • Qualidade da correção, caso incluída. Serão pagas recompensas maiores a quem adicionar sugestões sobre como corrigir o problema.
Bug vetor azulBug
Recompensa
Crítico$4,000 - $15,000
Alto$1,000 - $4,000
Médio$200 - $1,000
Baixoaté $200
Apenas serão consideradas para prémio vulnerabilidades desconhecidas e que ainda não tenham sido reportadas.
Nós damos apenas uma recompensa por bug. Caso múltiplos relatórios sejam apresentados sobre a mesma vulnerabilidade, nós recompensaremos apenas o primeiro relator.
Para receber o prémio, não deve haver qualquer obstáculo legal (ex, não poderá participar neste programa se for residente ou estiver num país que configure em qualquer lista de sanções que incluem, mas não estão limitadas a, CE, GAFI [FATF], EUA, ONU).
De qualquer das formas, é a SpectroCoin quem define o critério para determinar se uma vulnerabilidade reportada é insignificante, e também a sua elegibilidade para recompensa. Ao reportar um bug, concorda em seguir os regras descritas acima.

Como Reportar um Bug

  1. O relatório de Bug deve conter prova de conceito detalhada passo-a-passo que nos permita reproduzir e avaliar o problema. Por exemplo, um bug reportado relacionado com a web deve conter, pelo menos:
    • Pedidos/respostas HTTP, juntamente com os parâmetros afetados
    • Printscreens ou videos (se necessário)
    • Descrição do browser (tipo), OS, aparelho e/ou versão da aplicação
    • Descrição do impacto da vulnerabilidade encontrado
    • Sugestões de como solucionar o problema (opcional)
  2. Não partilhe publicamente nenhum ficheiro e/ou detalhes relacionados com a vulnerabilidade. Tal inclui uploads em qualquer website publicamente acessível (ex. YouTube, Imgur, Pastebin, etc.).
  3. Encripte a sua mensagem e anexos ao usar o nosso PGP Chave Pública (disponível abaixo).
  4. Inclua o seu endereço BTC/ETH para pagamento.
  5. Envie os seus relatórios de vulnerabilidade para [email protected].

Se a nossa equipa de Segurança TI não conseguir reproduzir e verificar o problema, a recompensa não será alocada.

Copiar chave:
Reporte um Bug

Elegibilidade (Âmbito)

Todos os serviços fornecidos pela SpectroCoin são elegíveis para o nosso programa de caça ao bug, incluindo as aplicações da SpectroCoin para iOS e Android, a carteira SpectroCoin, API, Ferramentas para Negócios, Cartões e Câmbio. De um modo geral, as vulnerabilidades com potencial para perda financeira ou violação de dados são consideradas suficientemente graves. Isso inclui, mas não se limita a:

  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Scripting entre sites (Cross-Site Scripting - XSS)
  • Injeção de Código (Code Injection)
  • Execução Remota de Código (Remote Code Execution)
  • Escalada de Privilégio (Privilege Escalation)
  • Bypass de Autenticação (Authentication Bypass)
  • Clickjacking
  • Vazamento de Dados Sensíveis (Leakage of Sensitive Data)

Ilegibilidade (Fora de Âmbito)

De um modo geral, as seguintes vulnerabilidades não se enquadram no patamar de gravidade:

  • Falta de DNSSEC
  • Injeções de host header sem impacto específico demonstrável
  • Explorações com base no Flash
  • Formas de CSRF que não impliquem autenticação ou ações sensíveis
  • Clickjacking em páginas sem ações sensíveis
  • Vulnerabilidades que solicitem ataque Man-in-the-middle (Homem-no-meio - MITM), ou acesso físico a um browser web de utilizador, conta de e-mail, smartphone e problemas em aparelhos enraizados/desbloqueados

Divulgação responsável

A divulgação responsável inclui, mas não se limita a:

  1. Fornecer-nos um período de tempo razoável para corrigir o problema antes de o publicar noutro local.
  2. Não violar a privacidade de outros utilizadores, destruir dados ou interromper os nossos serviços, etc (agir com boa fé).
  3. Não defraudar os utilizadores da SpectroCoin (não interaja com contas de outros, incluindo a alteração ou acesso a dados da conta) nem a própria SpectroCoin no processo de descoberta.
  4. Para explorações em que é necessário o acesso a uma conta, deverá ser utilizada a conta própria.
  5. Caso acesse dados pessoais inadvertidamente, pedimos que, após nos contactar, apague toda informação relacionada – incluindo mas não limitado a códigos de acesso, dados pessoais, etc.
  6. Se, devido a um bug, tiver sido capaz de aceder e/ou movimentar fundos da SpectroCoin, compromete-se a devolver todo o montante à SpectroCoin.
* Para encorajar a divulgação responsável de vulnerabilidades, não tomaremos medidas legais contra os exploradores que apontarem um problema, desde que eles façam tudo o estiver ao seu alcance para seguir os requisitos acima descritos.

Ajude-nos a manter a SpectroCoin segura

Reporte um Bug
;