Программа Баг-баунти

SpectroCoin стремится обеспечить безопасную среду для своих пользователей. Хотя наши ИТ-специалисты делают все возможное, чтобы найти все возможные уязвимости на нашей платформе, всегда есть небольшая вероятность того, что некоторые из них могли быть упущены. Именно поэтому мы решили запустить программу Баг-баунти. Каждый пользователь SpectroCoin может принять участие в программе и получить вознаграждение, сообщив об ошибках, обнаруженных в нашей системе.

Bознаграждение

SpectroCoin не устанавливает максимальное вознаграждение за обнаруженные уязвимости - более высокие вознаграждения могу быть получены в зависимости от серьезности сообщенной ошибки. Мы распределяем вознаграждения в соответствии со следующими рекомендациями, однако, определение окончательной суммы остается на наше усмотрение. Вознаграждение за допустимые ошибки выплачивается в биткоинах или эфирах.

Сумма вознаграждения может быть увеличена на указанных основаниях:

  • Качество описания. Более высокие вознаграждения могут быть выплачены за понятные, хорошо написанные отчеты об ошибках.
  • Качество доказательства концепции. Более высокие вознаграждения могут быть выплачены, если тестовый код, сценарии и подробные инструкции включены.
  • Качество предложенного исправления ошибки, если таковое присутствует. Более высокие вознаграждения могут быть выплачены, если в описании есть предложения о том, как решить проблему.
Синий векторный жукБаг
Вознаграждение
Критический$4,000 - $15,000
Высокий уровень опасности$1,000 - $4,000
Средний уровень опасности$200 - $1,000
Низкий уровень опасностидо $200
Только обнаружение ранее неизвестных уязвимостей может быть вознаграждено.
Мы даем только одну награду за одну ошибку. Если по одной и той же уязвимости отправлено несколько отчетов, мы наградим только первого репортера (см. раздел «Как сообщить о баге»).
Для получения вознаграждения, этому не должно быть никаких юридических препятствий (например, вы не можете участвовать в этой программе, если вы являетесь резидентом или физическим лицом, находящимся в стране, на которую распространяются международные санкции, в том числе санкции от ЕС, ФАТФ, США, ООН.)
В любом случае, SpectroCoin оставляет за собой право по своему усмотрению определять степень уязвимости и размер вознаграждения. Отправляя сообщение об ошибке, вы соглашаетесь следовать приведенным выше правилам.
Три синих и желтых куба

Как сообщить об ошибке

  1. Отчет об ошибке должен содержать подробное пошаговое подтверждение концепции, которая позволила бы нам воспроизвести и оценить проблему. Например, веб-отчет должен содержать как минимум:
    • HTTP-запросы / ответы вместе с затронутыми параметрами
    • Скриншоты или видео (при необходимости)
    • Описание браузера (тип), ОС, устройства и / или версии приложения
    • Описание предполагаемого воздействия уязвимости
    • Предложения о том, как решить проблему (необязательно)
  2. Не публикуйте файлы и / или сведения, связанные с этой уязвимостью. Это правило включает в себя загрузку на любые общедоступные веб-сайты (например, YouTube, Imgur, Pastebin и т. д.).
  3. Зашифруйте ваше сообщение и любые вложения с помощью нашего открытого ключа PGP (доступно ниже).
  4. Укажите ваш BTC / ETH адрес для оплаты.
  5. Присылайте свои отчеты об уязвимостях по адресу [email protected].

Если наша команда по информационной безопасности не может воспроизвести и проверить проблему, награда не будет предоставлена.

Копировать ключ:
Сообщить об ошибке

Приемлемые (в рамках программы)

Все услуги SpectroCoin попадают под действие программы баг-баунти, включая приложения SpectroCoin для iOS и Android, SpectroCoin кошелёк, API, инструменты для торговли, карты и биржу. Обычно, баги, которые потенциально несут угрозу потери или кражи средств или данных считаются достаточно критичными, например:

  • Межсайтовая подделка запроса (Cross-Site Request Forgery (CSRF))
  • Межсайтовый скриптинг (Cross-Site Scripting (XSS))
  • Инъекция кода (Code Injection)
  • Удаленное выполнения кода (Remote Code Execution)
  • Повышение привилегий (Privilege Escalation)
  • Обход аутентификации (Authentication Bypass)
  • Кликджекинг (Clickjacking)
  • Утечка данных (Leakage of Sensitive Data)

Неприемлимые (вне программы)

Как правило, следующие уязвимости не являются достаточно серьезными:

  • Недостаток DNSSEC
  • Инъекции заголовка без определенного и очевидного воздействия
  • Флэш-эксплоиты
  • CSRF, которые не требуют аутентификации или чувствительных действий
  • Кликджекинг на страницах где отсутствуют чувствительные действия
  • Уязвимости, требующие атаки «man-in-the-middle» (MITM) или физического доступа к веб-браузеру пользователя, учетной записи электронной почты, смартфону и проблемы на корневых / взломанных устройствах
Куб внутри большего куба

Ответственное обнаружение

Ответственное обнаружение означает:

  1. Предоставить нам количество времени, достаточное для исправления ошибки до того, как информация о ней будет распространена.
  2. Приложить все усилия, чтобы не причинить ущерб нашим пользователям и услугам (действовать добросовестно).
  3. Не вводить в заблуждение пользователей SpectroCoin (вы не взаимодействуете с индивидуальным аккаунтом, что подразумевает внесение изменений или доступ к данным через аккаунт) или сотрудников SpectroCoin в процессе обнаружения проблемы.
  4. Если для поиска ошибок нужен доступ к аккаунту, вы должны использовать свой личный аккаунт.
  5. Если вы случайно получите доступ к личным данным, мы попросим вас удалить всю связанную с ними информацию, включая: коды подключения, личные данные и т.д., после того, как оповестили нас об этом.
  6. Если вы ошибочно смогли получить доступ и/или переместить средства со SpectroCoin, вы соглашаетесь на полный возврат средств SpectroCoin.
* Чтобы мотивировать ответственное обнаружение, мы не будем возбуждать судебный иск против находчика, если он будет соблюдать все 6 вышеуказанных пунктов.

Помогите нам сохранить SpectroCoin в безопасности

Сообщить об ошибке