漏洞獎勵計劃

回報漏洞

SpectroCoin致力於確保用戶擁有安全的環境。儘管我們的IT專家正竭盡全力的在平台上尋找所有可能的漏洞，但總有沒發現一些漏洞的可能性。因此，我們決定提出一個漏洞獎勵計劃。任何一位SpectroCoin用戶只要回報在程序中所發現的錯誤，便可參與該計劃並獲得獎勵。

獎勵

SpectroCoin尚未為安全漏洞報告設定最高獎勵 — 根據漏洞報告的嚴重性，可被分配更高的獎勵。我們使用下表作為指南，但我們將決定並確認最終的獎勵金額。符合條件的安全漏洞獎勵將以比特幣或以太幣支付。

獎勵額度可能會增加，具體取決於：

描述的品質。調理清晰，編寫良好的漏洞獎勵報告，可能會獲得更高的獎勵。
概念證明的品質。如果包含測試代碼，腳本和詳細說明，則可能會獲得更高的獎勵。
修復的品質(如果有包含的話)。如果提供了有關解決此問題的建議，則可能會獲得更高的獎勵。

漏洞	獎勵
重大	$4,000 - $15,000
高風險	$1,000 - $4,000
中等	$200 - $1,000
低風險	最高至 $200

唯有從未找到或是從未回報過的漏洞才有機會獲得獎勵。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞，該獎勵將只頒發給第一位報告者（請查看本文"如何回報漏洞"篇）。
要獲得獎勵，必須沒有法律障礙（例如，如果您是位於受國際制裁國家內的居民或個人，則不得參與此計劃，包含但不限於EC、FATF、US和UN。）
在任何情況下，SpectroCoin都有權決定報告的漏洞是無關緊要的，包括其獲得獎勵的資格。一但提交一個漏洞，即表示您已同意遵守上述規則。

如何報告漏洞

漏洞報告應包含詳細示範的概念驗證(POC)，使我們可以重現和評估問題。例如，與網路相關的報告應至少包含：
- HTTP請求/響應以及受影響的參數
- 屏幕截圖或視頻（如有必要）
- 描述瀏覽器（類型），操作系統，設備和/或應用程序版本
- 描述漏洞造成的感知影響
- 有關解決問題的建議（自選）
請勿公開共享與該漏洞有關的任何文件和/或詳細信息。這包括上傳到任何可公開訪問的網站（例如YouTube，Imgur，Pastebin等）。
請使用我們的公共PGP密鑰（提供在下方）來加密您的訊息和所有的附件。
請附上您的比特幣/以太幣地址以便接收獎勵。
請將您的漏洞報告發送至 [email protected]。

如果我們的IT團隊無法重製並驗證問題，則不會分配獎勵。

PGP公鑰：複製公鑰：

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SfEx

回報漏洞

合格（範圍）

參與漏洞獎勵計畫的合格標準為SpectroCoin提供的所有服務，包含SpectroCoin的iOS和安卓的應用程式，SpectroCoin錢包，API，商家工具，卡片和交易等。一般而言，可能使財務損失或洩露數據的漏洞被認為具有足夠的嚴重性，其中包含但不限於：

跨站請求偽造(Cross-Site Request Forgery)
-跨網站指令碼(Cross-Site Scripting)
程式碼插入(Code Injection)
遠端程式碼執行(Remote Code Execution)
特權提升(Privilege Escalation)
略過驗證或權限檢查(Authentication Bypass)
點擊劫持(Clickjacking)
洩漏敏感數據(Leakage of Sensitive Data)

不合格（超出範圍）

通常，以下漏洞不符合嚴重性門檻：

缺乏域名系統安全擴充（DNSSEC）
Host頭注入但沒有明確且可被證明的影響
基於Flash的漏洞利用
若表單無需身份驗證或無敏感操作而發生的跨站請求偽造（CSRF）
在非敏感頁面上的點擊劫持（Clickjacking）
使用中間人攻擊（MITM），或物理訪問用戶的Web瀏覽器、電子郵件帳戶、智能手機，以及問題出現在使用了Root/越獄（Jailbreaking）的設備等的漏洞

披露責任

資料公開的資格與責任包含但不限於：

在將漏洞發佈到其他地方之前，提供我們合理的時間來解決問題。
不得侵犯其他用戶的隱私，破壞任何數據或破壞我們的服務等（按照誠信原則行事）。
不得欺騙SpectroCoin用戶（您無權與不屬於您個人的帳戶互動，包括修改或訪問帳戶中的數據）或在查明過程中的SpectroCoin本身。
若在實行漏洞利用時需要訪問帳戶，，您必須使用自己的帳戶。
如果您無意中訪問了私人數據，我們會要求您在通知我們後刪除所有相關信息 – 其中包含但不限於訪問代碼，私人數據等。
如果因為所發現的漏洞，而讓您能夠從SpectroCoin訪問和/或轉移資金，您承諾將全部金額歸還給SpectroCoin。

* 為了鼓勵負責任的披露，只要參加者盡力遵守以上指導原則，我們不會對指出漏洞的研究人員提出法律訴訟。

幫助我們維護SpectroCoin的安全

回報漏洞