漏洞獎金
計劃

SpectroCoin了解安全的重要性,因此確保用戶資產的安全對我們而言十分重要。雖然我們的IT團隊採取了所有預防措施來找尋我們系統中可能存在的漏洞,但仍有疏忽的可能性。SpectroCoin相信,與我們的社區攜手合作能夠為雙方帶來最好的結果。 SpectroCoin正在運行一個漏洞獎勵計畫,一旦您向我們回報一個重要又合格的漏洞,您即有獲得獎勵的資格。
握手

披露責任

資料公開的資格與責任包含但不限於:
  • 1. 在將漏洞發佈到其他地方之前,提供我們合理的時間來解決問題。
  • 2. 不得侵犯其他用戶的隱私,破壞任何數據或破壞我們的服務等(按照誠信原則行事)。
  • 3. 不得欺騙SpectroCoin用戶(您無權與不屬於您個人的帳戶互動,包括修改或訪問帳戶中的數據)或在查明過程中的SpectroCoin本身。
  • 4. 若在實行漏洞利用時需要訪問帳戶,,您必須使用自己的帳戶。
  • 5. 如果您無意中訪問了私人數據,我們會要求您在通知我們後刪除所有相關信息 – 其中包含但不限於訪問代碼,私人數據等。
  • 6. 如果因為所發現的漏洞,而讓您能夠從SpectroCoin訪問和/或轉移資金,您承諾將全部金額歸還給SpectroCoin。
* 為了鼓勵負責任的披露,只要參加者盡力遵守以上指導原則,我們不會對指出漏洞的研究人員提出法律訴訟。

獎勵

SpectroCoin尚未為安全漏洞報告設定最高獎勵。符合條件的安全漏洞獎勵將以比特幣或以太幣支付。根據漏洞報告的嚴重性,可被分配更高的獎勵。我們使用下表作為指南,但我們將決定並確認最終的獎勵金額。
  • 漏洞
    獎勵
  • 重大漏洞
    $4,000 - $15,000
  • 高風險漏洞
    $1,000 - $4,000
  • 中等漏洞
    $200 - $1,000
  • 低風險漏洞
    最高至 $200
唯有從未找到或是從未回報過的漏洞才有機會獲得獎勵。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞,該獎勵將只頒發給第一位報告者(請查看本文"如何回報漏洞"篇)。
要獲得獎勵,必須沒有法律障礙(例如,如果您是位於受國際制裁國家內的居民或個人,則不得參與此計劃,包含但不限於EC、FATF、US和UN。)
* 在任何情況下,SpectroCoin都有權決定報告的漏洞是無關緊要的,包括其獲得獎勵的資格。一但提交一個漏洞,即表示您已同意遵守上述規則。感謝您保護SpectroCoin以及我們的用戶安全!
獎勵金額可能會增加,具體取決於:

如何報告漏洞

請將您的漏洞報告發送至 [email protected]。 並請使用我們的公共PGP密鑰(提供在下方)來加密您的訊息和所有的附件。請勿公開共享與該漏洞有關的任何文件和/或詳細信息。 這包括上傳到任何可公開訪問的網站(例如YouTube,Imgur,Pastebin等)。
漏洞報告應包含詳細示範的概念驗證(POC),使我們可以重現和評估問題。例如,與網路相關的報告應至少包含:
  • HTTP請求/響應以及受影響的參數
  • 屏幕截圖或視頻(如有必要)
  • 描述瀏覽器(類型),操作系統,設備和/或應用程序版本
  • 描述漏洞造成的感知影響
  • 有關解決問題的建議(自選)
回報漏洞
* 如果我們的IT團隊無法重製並驗證問題,則不會分配獎金。
* 請附上您的比特幣 / 以太幣地址以便接收獎金。
電子信件圖示

合格(範圍)

參與漏洞獎勵計畫的合格標準為SpectroCoin提供的所有服務,包含SpectroCoin的iOS和安卓的應用程式,SpectroCoin錢包,API,商家工具,卡片和交易等。
一般而言,可能使財務損失或洩露數據的漏洞被認為具有足夠的嚴重性,其中包含但不限於:
  • - 跨站請求偽造(Cross-Site Request Forgery (CSRF))
  • - 跨網站指令碼(Cross-Site Scripting (XSS))
  • - 程式碼插入(Code Injection)
  • - 遠端程式碼執行(Remote Code Execution)
  • - 特權提升(Privilege Escalation)
  • - 略過驗證或權限檢查(Authentication Bypass)
  • - 點擊劫持(Clickjacking)
  • - 洩漏敏感數據(Leakage of Sensitive Data)

不合格(超出範圍)

通常,以下漏洞不符合嚴重性門檻:
  • - 第三方管理的網站上的漏洞,除非它們導致在主要網站上的漏洞(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
  • - 密碼複雜性要求(Password complexity requirements)
  • - Self-XSS
  • - 阻斷服務(DoS)(Denial of service (DoS))
  • - 濫發電子訊息(Spamming)
  • - 可用性問題(Usability issues)
  • - 影響過時或未修補的瀏覽器的漏洞(Vulnerabilities affecting outdated or unpatched browsers)
  • - 第三方應用程式中使用SpectroCoin API,但漏洞來自於第3方程式(Vulnerabilities in third party applications which make use of the SpectroCoin API)
  • - 無漏洞利用能力示範,來自自動化工具或掃描的報告(Reports from automated tools or scans, without exploitability demonstration)
  • - 非技術攻擊,如物理攻擊,社交工程,網絡釣魚等。 (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
  • - 之前已經報告過的漏洞(Bugs that have been already reported before)
  • - 我們已經知道的漏洞(Bugs known to us)
  • - 無法重現的漏洞(Non-reproducible issues)

如何協助保護SpectroCoin和我們的用戶

回報漏洞