漏洞獎金
計劃

SpectroCoin了解安全的重要性,因此確保用戶資產的安全對我們而言十分重要。雖然我們的IT團隊採取了所有預防措施來找尋我們系統中可能存在的漏洞,但仍有疏忽的可能性。SpectroCoin相信,與我們的社區攜手合作能夠為雙方帶來最好的結果。 SpectroCoin正在運行一個漏洞獎勵計畫,一旦您向我們回報一個重要又合格的漏洞,您即有獲得獎勵的資格。
回報漏洞
握手

披露責任

資料公開的資格與責任包含但不限於:
  • 1. 在將漏洞發佈到其他地方之前,提供我們合理的時間來解決問題。
  • 2. 不得侵犯其他用戶的隱私,破壞任何數據或破壞我們的服務等(按照誠信原則行事)。
  • 3. 不得欺騙SpectroCoin用戶(您無權與不屬於您個人的帳戶互動,包括修改或訪問帳戶中的數據)或在查明過程中的SpectroCoin本身。
  • 4. 若在實行漏洞利用時需要訪問帳戶,,您必須使用自己的帳戶。
  • 5. 如果您無意中訪問了私人數據,我們會要求您在通知我們後刪除所有相關信息 – 其中包含但不限於訪問代碼,私人數據等。
  • 6. 如果因為所發現的漏洞,而讓您能夠從SpectroCoin訪問和/或轉移資金,您承諾將全部金額歸還給SpectroCoin。
* 為了鼓勵負責任的披露,只要參加者盡力遵守以上指導原則,我們不會對指出漏洞的研究人員提出法律訴訟。

獎勵

符合條件的漏洞,最低獎勵相當於100美元的比特幣或是以太幣。獎金金額取決於報告漏洞的嚴重程度。您可遞交記載分解步驟的報告(或使用exploit script)。下表為評定指南。我們將會決定最終的實際金額:
  • 漏洞
    獎勵
  • 遠端執行代碼
    最高至 $10,000
  • 操控大量的帳戶餘額
    最高至 $5000
  • XSS/CSRF/Clickjacking等敏感行為[1]
    最高至 $3,500
  • 私密資料盜竊[2]
    最高至 $2,500
  • 部分驗證旁路
    最高至 $1,500
  • 其他XSS(不含Self-XSS)
    最高至 $500
  • 其他使財務或數據丟失的漏洞
    最高至 $500
  • 其他CSRF(不含logout CSRF)
    最高至 $100
[1] 敏感行為包括:存款、交易或匯款; OAuth、API Key action。
[2] 特有的私密資料包括:密碼、API密鑰、銀行帳號、社會安全號碼或其他同等的私人證件號碼。
唯有從未找到或是從未回報過的漏洞才有機會獲得獎勵。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞,該獎勵將只頒發給第一位報告者(請查看本文"如何回報漏洞"篇)。
要獲得獎勵,必須沒有法律障礙(例如,如果您是位於受國際制裁國家內的居民或個人,包含但不限於EC、FATF、US和UN),則您不得參與此計劃。
* 在任何情況下,SpectroCoin都有權決定報告的漏洞是無關緊要的,包括其獲得獎勵的資格。一但提交一個漏洞,即表示您已同意遵守上述規則。感謝您保護SpectroCoin以及我們的用戶安全!

如何報告漏洞

請將您的漏洞報告發送至 [email protected]。 需要附上現有漏洞的證明(螢幕截圖/影片/文件)。 不得公開共享這些文件。 這包括上傳至任何可公開訪問的網站(即YouTube,Imgur等)。

必須在漏洞報告中提出重製資訊,包括:
  • - URL和受影響的參數。
  • - 瀏覽器(類型),操作系統,設備和/或應用程式版本的描述。
  • - 描述漏洞帶來的可見影響。
  • - 關於如何解決問題的建議(可自選)。
回報漏洞
* 如果我們的IT團隊無法重製並驗證問題,則不會分配獎金。
* 請附上您的比特幣 / 以太幣地址以便接收獎金。
電子信件圖示

合格(範圍)

參與漏洞獎勵計畫的合格標準為SpectroCoin提供的所有服務,包含SpectroCoin的iOS和安卓的應用程式,SpectroCoin錢包,API,商家工具,卡片和交易等。
一般而言,可能使財務損失或洩露數據的漏洞被認為具有足夠的嚴重性,其中包含但不限於:
  • - 跨站請求偽造(Cross-Site Request Forgery (CSRF))
  • - 跨網站指令碼(Cross-Site Scripting (XSS))
  • - 程式碼插入(Code Injection)
  • - 遠端程式碼執行(Remote Code Execution)
  • - 特權提升(Privilege Escalation)
  • - 略過驗證或權限檢查(Authentication Bypass)
  • - 點擊劫持(Clickjacking)
  • - 洩漏敏感數據(Leakage of Sensitive Data)

不合格(超出範圍)

通常,以下漏洞不符合嚴重性門檻:
  • - 第三方管理的網站上的漏洞,除非它們導致在主要網站上的漏洞(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - 密碼複雜性要求(Password complexity requirements)
  • - Self-XSS
  • - 阻斷服務(DoS)(Denial of service (DoS))
  • - 濫發電子訊息(Spamming)
  • - 可用性問題(Usability issues)
  • - 影響過時或未修補的瀏覽器的漏洞(Vulnerabilities affecting outdated or unpatched browsers)
  • - 第三方應用程式中使用SpectroCoin API,但漏洞來自於第3方程式(Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - 無漏洞利用能力示範,來自自動化工具或掃描的報告(Reports from automated tools or scans, without exploitability demonstration)
  • - 非技術攻擊,如物理攻擊,社交工程,網絡釣魚等。 (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - 之前已經報告過的漏洞(Bugs that have been already reported before)
  • - 我們已經知道的漏洞(Bugs known to us)
  • - 無法重現的漏洞(Non-reproducible issues)

如何協助保護SpectroCoin和我們的用戶

回報漏洞