漏洞奖金
计划

SpectroCoin了解安全的重要性,因此确保用户资产的安全对我们而言十分重要。虽然我们的IT团队采取了所有预防措施来找寻我们系统中可能存在的漏洞,但仍有疏忽的可能性。 SpectroCoin相信,与我们的社区携手合作能够为双方带来最好的结果。 SpectroCoin正在运行一个漏洞奖励计画,一旦您向我们回报一个重要又合格的漏洞,您即有获得奖励的资格。
握手

披露责任

资料公开的资格与责任包含但不限于:
  • 1. 在将漏洞发布到其他地方之前,提供我们合理的时间来解决问题。
  • 2. 不得侵犯其他用户的隐私,破坏任何数据或破坏我们的服务等(按照诚信原则行事)。
  • 3. 不得欺骗SpectroCoin用户(您无权与不属于您个人的帐户互动,包括修改或访问帐户中的数据)或在查明过程中的SpectroCoin本身。
  • 4. 若在实行漏洞利用时需要访问帐户,,您必须使用自己的帐户。
  • 5. 如果您无意中访问了私人数据,我们会要求您在通知我们后删除所有相关信息 – 其中包含但不限于访问代码,私人数据等。
  • 6. 如果因为所发现的漏洞,而让您能够从SpectroCoin访问和/或转移资金,您承诺将全部金额归还给SpectroCoin。
* 为了鼓励负责任的披露,只要参加者尽力遵守以上指导原则,我们不会对指出漏洞的研究人员提出法律诉讼。

奖励

符合条件的漏洞,最低奖励相当于100美元的比特币或是以太币。奖金金额取决于报告漏洞的严重程度。您可递交记载分解步骤的报告(或使用exploit script)。下表为评定指南。我们将会决定最终的实际金额:
  • 漏洞
    奖励
  • 远端执行代码
    最高至 $10,000
  • 操控大量的帐户余额
    最高至 $5,000
  • XSS/CSRF/Clickjacking等敏感行为[1]
    最高至 $3,500
  • 私密资料盗窃[2]
    最高至 $2,500
  • 部分验证旁路
    最高至 $1,500
  • 其他XSS(不含Self-XSS)
    最高至 $500
  • 其他使财务或数据丢失的漏洞
    最高至 $500
  • 其他CSRF(不含logout CSRF)
    最高至 $100
[1] 敏感行为包括:存款、交易或汇款; OAuth、API Key action。
[2] 特有的私密资料包括:密码、API密钥、银行帐号、社会安全号码或其他同等的私人证件号码。
唯有从未找到或是从未回报过的漏洞才有机会获得奖励。
一个漏洞我们只会给予一个奖励。如果多项报告都针对于同一个漏洞,该奖励将只颁发给第一位报告者(请查看本文"如何回报漏洞"篇)。
要获得奖励,必须没有法律障碍(例如,如果您是位于受国际制裁国家内的居民或个人,包含但不限于EC、FATF、US和UN),则您不得参与此计划。
* 在任何情况下,SpectroCoin都有权决定报告的漏洞是无关紧要的,包括其获得奖励的资格。一但提交一个漏洞,即表示您已同意遵守上述规则。感谢您保护SpectroCoin以及我们的用户安全!

如何报告漏洞

请将您的漏洞报告发送至 [email protected]。需要附上现有漏洞的证明(萤幕截图/影片/文件)。不得公开共享这些文件。这包括上传至任何可公开访问的网站(即YouTube,Imgur等)。

必须在漏洞报告中提出重制资讯,包括:
  • - URL和受影响的参数。
  • - 浏览器(类型),操作系统,设备和/或应用程式版本的描述。
  • - 描述漏洞带来的可见影响。
  • - 关于如何解决问题的建议(可自选)。
回报漏洞
* 如果我们的IT团队无法重制并验证问题,则不会分配奖金。
* 请附上您的比特币 / 以太币地址以便接收奖金。
电子信件图示

合格(范围)

参与漏洞奖励计画的合格标准为SpectroCoin提供的所有服务,包含SpectroCoin的iOS和安卓的应用程式,SpectroCoin钱包,API,商家工具,卡片和交易等。
一般而言,可能使财务损失或泄露数据的漏洞被认为具有足够的严重性,其中包含但不限于:
  • - 跨站请求伪造(Cross-Site Request Forgery (CSRF))
  • - 跨网站指令码(Cross-Site Scripting (XSS))
  • - 程式码插入(Code Injection)
  • - 远端程式码执行(Remote Code Execution)
  • - 特权提升(Privilege Escalation)
  • - 略过验证或权限检查(Authentication Bypass)
  • - 点击劫持(Clickjacking)
  • - 泄漏敏感数据(Leakage of Sensitive Data)

不合格(超出范围)

通常,以下漏洞不符合严重性门槛:
  • - 第三方管理的网站上的漏洞,除非它们导致在主要网站上的漏洞(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - 密码复杂性要求(Password complexity requirements)
  • - Self-XSS
  • - 阻断服务(DoS)(Denial of service (DoS))
  • - 滥发电子讯息(Spamming)
  • - 可用性问题(Usability issues)
  • - 影响过时或未修补的浏览器的漏洞(Vulnerabilities affecting outdated or unpatched browsers)
  • - 第三方应用程式中使用SpectroCoin API,但漏洞来自于第3方程式(Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - 无漏洞利用能力示范,来自自动化工具或扫描的报告(Reports from automated tools or scans, without exploitability demonstration)
  • - 非技术攻击,如物理攻击,社交工程,网络钓鱼等。(Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - 之前已经报告过的漏洞(Bugs that have been already reported before)
  • - 我们已经知道的漏洞(Bugs known to us)
  • - 无法重现的漏洞(Non-reproducible issues)

如何协助保护SpectroCoin和我们的用户

回报漏洞