Баг-баунти
Программа

SpectroCoin понимает насколько важна безопасность данных наших клиентов. Также, наша команда ИТ приняла все меры предосторожности чтобы найти все возможные ошибки в системе. Однако, мы не исключаем, что все еще возможно найти уязвимости. SpectroCoin команда верит, что тесное сотрудничество с нашими пользователями принесет лучший результат. SpectroCoin начинает баг-баунти программу, в которой вы получите вознаграждение если сообщите нам о критической уязвимости.
Рукопожатие

Ответственное обнаружение

Ответственное обнаружение означает:
  • 1. Дать нам приличное количество времени, для исправления ошибки до того, как информация о ней будет распространена.
  • 2. Приложить все усилия, чтобы не причинить ущерба нашим пользователям и услугам (действовать добросовестно).
  • 3. Не вводить в заблуждение SpectroCoin пользователей (вы не взаимодействуете с индивидуальным аккаунтом, что подразумевает изменения или доступ к данным через аккаунт) или SpectroCoin сотрудников в процессе обнаружения проблемы.
  • 4.Если для поиска ошибок нужен доступ к аккаунту вы должны использовать свой личный аккаунт.
  • 5. Если вы случайно получите доступ к личным данным мы попросим вас удалить всю связанную с ними информацию – включая: коды подключения, личные данные и т.д., после того, как оповестили нас об этом.
  • 6. Если вы ошибочно смогли получить доступ и/или переместить средства с SpectroCoin, вы соглашаетесь на полный возврат средств SpectroCoin.
* Чтобы мотивировать ответственное обнаружение мы не будем возбуждать судебный иск против находчика если он будет соблюдать все 6 вышеуказанных пунктов.

Bознаграждение

Минимальное вознаграждение за ошибку, которая подпадает под условия проекта, ровна 100 USD в Биткоинах или Ethereum. Цена за ошибку может менятся в соответствие с критичностью уязвимости о который доложили. Пошаговый отчет приветствуется. Ниже поданный список сумм вознаграждения:
  • Ошибка
    Вознаграждение
  • Удаленное выполнения кода
    до $10,000
  • Значительные манипуляции счетом
    до $5,000
  • XSS/CSRF/Clickjacking влияющие на осторожные действия [1]
    до $3,500
  • Кража конфиденциальной информации [2]
    до $2,500
  • Обход аутентификации
    до $1,500
  • Другие XSS (исключая Self-XSS)
    до $500
  • Другие уязвимости потенциально несущие угрозу утраты средств или данных
    до $500
  • Другие CSRF (исключая CSRF при выходе из системы)
    до $100
[1] Осторожные действия это: депонирование, торговля или отправление денег; OAuth или API Key действия.
[2] Конфиденциальная информация это: пароли, API ключи, номер банковского счета, номер социального страхования или эквивалент.
Вознаграждение можно получить только за те ошибки, о которых мы раньше не знали и не были осведомлены.
Одно вознаграждение за одну ошибку, то есть – если вы отправите несколько отчетов по поводу одной и той же ошибки вы получите вознаграждение только за первый отчет (пожалуйста, узнайте как это сделать в “Как уведомить" секции).
Чтобы получит вознаграждение, в вашей стране не должно быть правовых ограничений по этому поводу (например, вы не можете участвовать в программе если вы гражданин или житель страны которая санкционировала эту деятельность. Если ваша страна подпадает под санкции EC, FATF, US, UN, вознаграждение не будет оплачено.
* В любом случае SpectroCoin оставляет за собой право определять ценность ошибки и критичность уязвимости. Сообщая нам об ошибке вы соглашаетесь с вышеуказанными условиями и правилами. Спасибо вам за безопасность SpectroCoin услуг и наших пользователей!

Как уведомить

Отправьте уведомление об ошибке на [email protected]. Необходимо доказательство существования уязвимости (скриншот/видео/отчет). Файл должен оставатся публично НЕдоступен. Это означает - не загружать информацию на публично доступные сети (например YouTube, Imgur т.д.)

Описание ошибки должно включать:
  • - URL и уязвимые параметры
  • - Описание браузера (тип), ОС, устройство и/или версия приложения
  • - Описание потенциального действия уязвимости
  • - Предложение как исправить ошибку (необязательно)
Информировать об уязвимости
* Если наша ИТ команда не может воспроизвести или подтвердить ошибку, вознаграждение не будет оплачено.
* Предоставьте свой BTC/ETH адрес для проведения платежа.
Иконка почты

Ошибки попадающие под условия программы

Все услуги SpectroCoin подпадают под действие баг-баунти программы, включая iOS и Android SpectroCoin приложения, SpectroCoin кошелёк, API, Мерчант инструменты, карты и биржа.
В общем, уязвимости которые потенциально несут угрозу потери или кражи средств или данных считаются достаточно критичными, например:
  • - Межсайтовая подделка запроса (Cross-Site Request Forgery (CSRF))
  • - Межсайтовый скриптинг (Cross-Site Scripting (XSS))
  • - Инъекция кода (Code Injection)
  • - Удаленное выполнения кода (Remote Code Execution)
  • - Повышение привилегий (Privilege Escalation)
  • - Обход аутентификации или авторизации (Authentication Bypass)
  • - Кликджекинг (Clickjacking)
  • - Утечка данных (Leakage of Sensitive Data)

Исключение в рамках программы

Следующие ошибки не вознаграждаются:
  • - Уязвимости на веб страницах третьих лиц, до тех пор, пока эти уязвимости не влияют на главную веб страницу (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Требования сложности пароля (Password complexity requirements)
  • - Self-XSS
  • - DoS - атака (Denial of service (DoS))
  • - Spamming
  • - Вопросы по удобности использования (Usability issues)
  • - Уязвимости влияющие на устаревшие и не проверенные браузеры (Vulnerabilities affecting outdated or unpatched browsers)
  • - Уязвимости сторонних приложений, которые используют SpectroCoin API (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Отчеты от автоматизированных инструментов без демонстрации эксплуатации (Reports from automated tools or scans, without exploitability demonstration)
  • - Нетехнические атаки, например, физические атаки, социальные разработки, фишинг и т.д. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Ошибки о которых нам уже сообщали (Bugs that have been already reported before)
  • - Проблемы о которых мы уже знаем (Bugs known to us)
  • - Проблемы которых не удалось воспроизвести (Non-reproducible issues)

Помогите защитить пользователей SpectroCoin

Информировать об уязвимости