Баг-баунти
Программа

SpectroCoin понимает насколько важна безопасность данных наших клиентов. Также, наша команда ИТ приняла все меры предосторожности чтобы найти все возможные ошибки в системе. Однако, мы не исключаем, что все еще возможно найти уязвимости. SpectroCoin команда верит, что тесное сотрудничество с нашими пользователями принесет лучший результат. SpectroCoin начинает баг-баунти программу, в которой вы получите вознаграждение если сообщите нам о критической уязвимости.
Рукопожатие

Ответственное обнаружение

Ответственное обнаружение означает:
  • 1. Предоставить нам количество времени, достаточное для исправления ошибки до того, как информация о ней будет распространена.
  • 2. Приложить все усилия, чтобы не причинить ущерб нашим пользователям и услугам (действовать добросовестно).
  • 3. Не вводить в заблуждение SpectroCoin пользователей (вы не взаимодействуете с индивидуальным аккаунтом, что подразумевает изменения или доступ к данным через аккаунт) или SpectroCoin сотрудников в процессе обнаружения проблемы.
  • 4.Если для поиска ошибок нужен доступ к аккаунту, вы должны использовать свой личный аккаунт.
  • 5. Если вы случайно получите доступ к личным данным, мы попросим вас удалить всю связанную с ними информацию – включая: коды подключения, личные данные и т.д., после того, как оповестили нас об этом.
  • 6. Если вы ошибочно смогли получить доступ и/или переместить средства с SpectroCoin, вы соглашаетесь на полный возврат средств SpectroCoin.
* Чтобы мотивировать ответственное обнаружение мы не будем возбуждать судебный иск против находчика, если он будет соблюдать все 6 вышеуказанных пунктов.

Bознаграждение

SpectroCoin не установил максимальное вознаграждение за обнаруженные уязвимости. Награда за соответствующие вопросы безопасности будет выплачена в биткойнах или эфирах. Могут быть назначены более высокие вознаграждения, в зависимости от серьезности обнаруженных уязвимостей. Мы используем следующую таблицу в качестве руководства, однако определение окончательной суммы остается на наше усмотрение.
  • Ошибка
    Вознаграждение
  • Критичная
    $4,000 - $15,000
  • Высокая степень
    $1,000 - $4,000
  • Средняя степень
    $200 - $1,000
  • Низкая степень
    до $200
Только обнаружение неизвестных уязвимостей, о которых не было сообщено до этого, может быть вознаграждено.
Мы даем только одну награду за ошибку. Если по одной и той же уязвимости отправлено несколько отчетов, мы наградим только первого репортера (см. Раздел «Как сообщить об ошибке»).
Для получения вознаграждения не должно быть никаких юридических препятствий для этого (например, вы не можете участвовать в этой программе, если вы являетесь резидентом или физическим лицом, находящимся в стране, на которую распространяются международные санкции, в том числе санкции от ЕС, ФАТФ, США, ООН.)
* В любом случае, SpectroCoin оставляет за собой право по своему усмотрению определять степень уязвимости и размер вознаграждения. Отправляя сообщение об ошибке, вы соглашаетесь следовать приведенным выше правилам. Спасибо за сохранение SpectroCoin и наших пользователей в безопасности!
Сумма вознаграждения может быть увеличена на указанных основаниях:

Как уведомить

Отправьте уведомление об ошибке на [email protected]. Пожалуйста, зашифруйте ваше сообщение и любые вложения с помощью нашего открытого ключа PGP (доступно ниже). Не публикуйте какие-либо файлы и / или сведения, связанные с уязвимостью. Это включает в себя загрузку на любые общедоступные веб-сайты (например, YouTube, Imgur, Pastebin и т. д.).

Описание ошибки должно включать:
  • - URL и уязвимые параметры
  • - Описание браузера (тип), ОС, устройство и/или версия приложения
  • - Описание потенциального воздействия уязвимости
  • - Предложение как исправить ошибку (необязательно)
Информировать об уязвимости
* Если наша ИТ команда не может воспроизвести или подтвердить ошибку, вознаграждение не будет оплачено.
* Предоставьте свой BTC/ETH адрес для проведения платежа.
Иконка почты

Ошибки попадающие под условия программы

Все услуги SpectroCoin подпадают под действие баг-баунти программы, включая iOS и Android SpectroCoin приложения, SpectroCoin кошелёк, API, Мерчант инструменты, карты и биржа.
В общем, уязвимости которые потенциально несут угрозу потери или кражи средств или данных считаются достаточно критичными, например:
  • - Межсайтовая подделка запроса (Cross-Site Request Forgery (CSRF))
  • - Межсайтовый скриптинг (Cross-Site Scripting (XSS))
  • - Инъекция кода (Code Injection)
  • - Удаленное выполнения кода (Remote Code Execution)
  • - Повышение привилегий (Privilege Escalation)
  • - Обход аутентификации или авторизации (Authentication Bypass)
  • - Кликджекинг (Clickjacking)
  • - Утечка данных (Leakage of Sensitive Data)

Исключение в рамках программы

Следующие ошибки не вознаграждаются:
  • - Уязвимости на веб страницах третьих лиц, до тех пор, пока эти уязвимости не влияют на главную веб страницу (Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - Требования сложности пароля (Password complexity requirements)
  • - Self-XSS
  • - DoS - атака (Denial of service (DoS))
  • - Spamming
  • - Вопросы по удобности использования (Usability issues)
  • - Уязвимости влияющие на устаревшие и не проверенные браузеры (Vulnerabilities affecting outdated or unpatched browsers)
  • - Уязвимости сторонних приложений, которые используют SpectroCoin API (Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - Отчеты от автоматизированных инструментов без демонстрации эксплуатации (Reports from automated tools or scans, without exploitability demonstration)
  • - Нетехнические атаки, например, физические атаки, социальные разработки, фишинг и т.д. (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - Ошибки о которых нам уже сообщали (Bugs that have been already reported before)
  • - Проблемы о которых мы уже знаем (Bugs known to us)
  • - Проблемы которых не удалось воспроизвести (Non-reproducible issues)

Помогите защитить пользователей SpectroCoin

Информировать об уязвимости