Caça a
Bugs

A SpectroCoin entende a importância das questões de segurança e em manter nossos utilizadores em segurança. Ainda que nossa equipa de TI tenha tomado as devidas precauções para localizar possíveis bugs em nosso sistema, há sempre uma pequena possibilidade de que algum tenha passado despercebido. Na SpectroCoin, acreditamos que trabalhar lado a lado com nossa comunidade pode trazer aos melhores resultados para ambos. A SpectroCoin abriu um programa de caça a bugs no qual podes receber uma recompensa caso reportar uma vulnerabilidade qualificável e significativa.
Aperto de mão

Divulgação Responsável de Vulnerabilidades

A divulgação responsável de vulnerabilidades inclui, mas não se limita a:
  • 1. Fornecer-nos uma quantia de tempo razoável para corrigir o problema antes de que o publique em outro local.
  • 2. Não violar a privacidade de outros utilizadores, destruir dados ou interromper nossos serviços, etc (agir com boa fé).
  • 3. Não fraudar os utilizadores da SpectroCoin (não deverás interagir com contas de outros indivíduos, incluindo a alteração ou acesso a dados da conta) nem a própria SpectroCoin no processo de descoberta.
  • 4. Para explorações em que necessites de acesso a uma conta, deves utilizar sua própria conta.
  • 5. Caso inadvertidamente acesse dados pessoais, pedimos que apague toda informação relacionada após sermos notificados– incluindo, mas não limitada a códigos de acesso, dados pessoais, etc.
  • 6. Se, no caso de um bug, tenha sido capaz de aceder e/ou movimentar fundos da SpectroCoin, compromete-se a devolver todo o montante à SpectroCoin.
* Para encorajar a divulgação responsável de vulnerabilidades, nós não tomaremos medidas legais contra os testadores que apontarem uma vulnerabilidade, desde que eles façam seu melhor para seguir os requisitos acima.

Prémios

A recompensa mínima para vulnerabilidades qualificáveis é o equivalente a 100 USD em Bitcoin ou Ethereum. Recompensas maiores podem ser dadas de acordo com a gravidade da vulnerabilidade reportada. Um relatório detalhado (ou um roteiro da exploração) é mais que bem-vindo. A tabela a seguir é utilizada como um guia. A decisão sobre o montante final permanece a nosso critério:
  • Bug
    Recompensa
  • Execução Remota de Código
    até $10.000
  • Manipulação significativa de saldo de conta
    até $5.000
  • XSS/CSRF/Clickjacking afetando ações sensíveis [1]
    até $3.500
  • Roubo de informação privilegiada [2]
    até $2.500
  • Bypass parcial de autenticação
    até $1.500
  • Outros XSS (excluindo Self-XSS)
    até $500
  • Outra vulnerabilidade com claro potencial de perda de fundos ou dados
    até $500
  • Outros CSRF (excluindo logout CSRF)
    até $100
[1] Ações sensíveis incluem: depositar, realizar trading ou enviar fundos; ações envolvendo OAuth ou API Key.
[2] Informações privilegiadas incluem: palavras-passe, API keys, número de contas bancárias, número da segurança social ou equivalente.
Apenas vulnerabilidades desconhecidas e que não tenham sido reportadas serão consideradas para a premiação.
Nós damos apenas uma recompensa por bug. Caso múltiplos relatórios sejam apresentados sobre uma mesma vulnerabilidade, nós recompensaremos apenas o primeiro relator (verifique, por favor, a seção “Como Reportar um Bug").
Para receberes a recompensa, não deve haver qualquer obstáculo legal (e.g. não poderás participar deste programa se fores residente ou estiveres localizado num país que figure em qualquer lista de sanções incluindo, mas não limitadas a CE, GAFI [FATF], EUA, ONU).
* Em todo o caso, permanece a critério da SpectroCoin determinar uma vulnerabilidade reportada como insignificante, incluindo sua elegibilidade para uma recompensa. Ao reportar um bug, tens de concordar em seguir os requisitos acima. Agradecemos por manter a SpectroCoin e seus utilizadores em segurança!

Como Reportar um Bug

Relatórios sobre vulnerabilidades devem ser enviados para [email protected]. Provas da existência da vulnerabilidade (captura de tela, vídeo, roteiro) são requeridas. Tais ficheiros não devem ser partilhados publicamente. Isto inclui o envio para quaisquer sítios acessíveis publicamente (i.e. YouTube, Imgur, etc).

As etapas de reprodução da vulnerabilidade devem ser incluídas no relatório, incluindo:
  • - URL e parâmetros afetados
  • - Descrição do browser (tipo), OS, dispositivo e/ou versão do app
  • - Descrição do impacto percebido da vulnerabilidade
  • - Sugestões de como resolver o problema (opcional)
Reporte um Bug
* Caso a nossa equipa de TI não possa reproduzir e verificar a vulnerabilidade, a recompensa não será dada.
* Inclua seu endereço BTC/ETH para o pagamento.
Ícone de mensagem

Qualificação (Âmbito)

Todos os serviços fornecidos pela SpectroCoin são elegíveis para o programa de caça a bugs, incluindo as aplicações da SpectroCoin para iOS e Android, a carteira da SpectroCoin, API, Ferramentas para Negócios, Cartões e Câmbio.
Em geral, vulnerabilidades que possuam potencial para perda financeira ou violação de dados são consideradas suficientemente graves. Isso inclui, mas não se limita a:
  • - Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • - Cross-Site Scripting (XSS)
  • - Injeção de Código (Code Injection)
  • - Execução Remota de Código (Remote Code Execution)
  • - Escalação de Privilégio (Privilege Escalation)
  • - Bypass de Autenticação (Authentication Bypass)
  • - Clickjacking
  • - Vazamento de Dados Sensíveis (Leakage of Sensitive Data)

Desqualificação (Fora de Âmbito)

Em geral, as vulnerabilidades a seguir estarão fora de âmbito:
  • - Vulnerabilidades em sites hospedados por terceiros, a menos que elas levem a uma vulnerabilidade no sítio principal (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Requisitos de complexidade de palavra-passe (Password complexity requirements)
  • - Self-XSS
  • - Ataque de negação de serviço (Denial of service - DoS)
  • - Spamming
  • - Problemas de usabilidade (Usability issues)
  • - Vulnerabilidades afetando browsers desatualizados ou sem patches (Vulnerabilities affecting outdated or unpatched browsers)
  • - Vulnerabilidades em aplicações de terceiros que fazem uso da API da SpectroCoin (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Relatórios produzidos com ferramentas ou varreduras automatizadas, sem demonstrar a exploração (Reports from automated tools or scans, without exploitability demonstration)
  • - Ataques não-técnicos, tais como ataques físicos, engenharia social, phishing, etc (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Bugs que já foram reportados (Bugs that have been already reported before)
  • - Bugs que já conhecemos (Bugs known to us)
  • - Problemas não reprodutíveis (Non-reproducible issues)

Ajude-nos a manter a SpectroCoin e seus utilizadores seguros

Reporte um Bug