漏洞獎勵計劃

SpectroCoin了解安全的重要性，因此確保用戶資產的安全對我們而言十分重要。雖然我們的IT團隊採取了所有預防措施來找尋我們系統中可能存在的漏洞，但仍有疏忽的可能性。SpectroCoin相信，與我們的社區攜手合作能夠為雙方帶來最好的結果。 SpectroCoin正在運行一個漏洞獎勵計畫，一旦您向我們回報一個重要又合格的漏洞，您即有獲得獎勵的資格。

回報漏洞

披露責任

資料公開的資格與責任包含但不限於：

1. 在將漏洞發佈到其他地方之前，提供我們合理的時間來解決問題。
2. 不得侵犯其他用戶的隱私，破壞任何數據或破壞我們的服務等（按照誠信原則行事）。
3. 不得欺騙SpectroCoin用戶（您無權與不屬於您個人的帳戶互動，包括修改或訪問帳戶中的數據）或在查明過程中的SpectroCoin本身。
4. 若在實行漏洞利用時需要訪問帳戶，，您必須使用自己的帳戶。
5. 如果您無意中訪問了私人數據，我們會要求您在通知我們後刪除所有相關信息 – 其中包含但不限於訪問代碼，私人數據等。
6. 如果因為所發現的漏洞，而讓您能夠從SpectroCoin訪問和/或轉移資金，您承諾將全部金額歸還給SpectroCoin。

* 為了鼓勵負責任的披露，只要參加者盡力遵守以上指導原則，我們不會對指出漏洞的研究人員提出法律訴訟。

獎勵

SpectroCoin尚未為安全漏洞報告設定最高獎勵。符合條件的安全漏洞獎勵將以比特幣或以太幣支付。根據漏洞報告的嚴重性，可被分配更高的獎勵。我們使用下表作為指南，但我們將決定並確認最終的獎勵金額。

漏洞

獎勵
重大漏洞

$4,000 - $15,000
高風險漏洞

$1,000 - $4,000
中等漏洞

$200 - $1,000
低風險漏洞

最高至 $200

唯有從未找到或是從未回報過的漏洞才有機會獲得獎勵。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞，該獎勵將只頒發給第一位報告者（請查看本文"如何回報漏洞"篇）。
要獲得獎勵，必須沒有法律障礙（例如，如果您是位於受國際制裁國家內的居民或個人，則不得參與此計劃，包含但不限於EC、FATF、US和UN。）
* 在任何情況下，SpectroCoin都有權決定報告的漏洞是無關緊要的，包括其獲得獎勵的資格。一但提交一個漏洞，即表示您已同意遵守上述規則。感謝您保護SpectroCoin以及我們的用戶安全！

獎勵額度可能會增加，具體取決於：

描述的品質。調理清晰，編寫良好的漏洞獎勵報告，可能會獲得更高的獎勵。
概念證明的品質。如果包含測試代碼，腳本和詳細說明，則可能會獲得更高的獎勵。
修復的品質(如果有包含的話)。如果提供了有關解決此問題的建議，則可能會獲得更高的獎勵。

如何報告漏洞

請將您的漏洞報告發送至 [email protected]。並請使用我們的公共PGP密鑰（提供在下方）來加密您的訊息和所有的附件。請勿公開共享與該漏洞有關的任何文件和/或詳細信息。這包括上傳到任何可公開訪問的網站（例如YouTube，Imgur，Pastebin等）。

漏洞報告應包含詳細示範的概念驗證(POC)，使我們可以重現和評估問題。例如，與網路相關的報告應至少包含：

HTTP請求/響應以及受影響的參數
屏幕截圖或視頻（如有必要）
描述瀏覽器（類型），操作系統，設備和/或應用程序版本
描述漏洞造成的感知影響
有關解決問題的建議（自選）

公鑰：

mQINBFykZnkBEADU8WWyLBa6zHwd4fvoJNYe8wZxqTGqITN11HPJuPzoSQ1UPajGJMEOtGr9n6Emj5d/VIPRAHa08+RzFhrCsUDobqo2zK0xPHhVGq0mNojras6X6Y6oJM68gO7GqqCLNxPGRvWs3e9eRnB2uuP68d+t77YrHnogukRakCVtY6cHj4cKkZimblmP/UCxRCc4eUK88DUohwzdzT93bZg6pVilyC9b25TCYAoE1heyH5wB5SpHT5BBE1bzncfOZmcBNoVAKXKVqhvufF7jhvNFW2FQQf3EbdNlofWFVcyO8X9XTeZkAOoSRu4Kzb15RZw+VKwzNOBL9zHljZaI13uoPicA6BK2svpB9hhcFeTtGelk07b3l3mS/3eMg+aSKOwfdnhzy3UA21CD3vcZomjxZ61k42s7Q7t1xcJ04HiH4a6wlDedow+XDQwC3nMpbRV0+w9pk8E63zpxtejUPke0W6C0KugFx86C4VmWH6sgOymmBVjD/Zz089Tga9vUi1Dylv8MmkiwW+y8hhPAwWRayFLV+X7Fn7/Z1LSZsIQs0DnboDUCPkhPcE6/yTEan3dpMR/rMAT9jYLbib71NSlAjBFHdhlTwDE3Gz9H8fkcVuWnzW4Mn52CavN/Bmx5QZlXUGnid7NhIVWMvJ3EbcEUseeQZRXDvnwizrR8Q3nwsp4lJwARAQABtDV0ZWNobmljYWxAc3BlY3Ryb2NvaW4uY29tIDx0ZWNobmljYWxAc3BlY3Ryb2NvaW4uY29tPokCVAQTAQgAPhYhBPEtltWxbCYNDcJ9NVxoqXxc8LDcBQJcpGZ5AhsjBQkDwmcABQsJCAcCBhUKCQgLAgQWAgMBAh4BAheAAAoJEFxoqXxc8LDcGhYQAK/aPXKCzd4qJDkS+rAVWdRmZVBM1P2KxSqZmFaIhidkBOmUpSRtK1XFjhUykQYe2a1W5k6aCoN7W1JBkh6p2m1hqC/MlsW5oCBbKMyeUCEX1ac1wboENOJRZMmF9DqYEn544JengFxtlakfQ0/vZvfhzHoT2fcFBjQgHjKxeWIpdAmplp3i2vkf3eLknInNPNvyaPgPZNIHlxP7Qjd4jDFBvJ8eHZu+mDD+r6Xhk7WWvjAfb7CnCX6xxyvByGuoxYWnZOPRlx4SOIXtCmGNS9WOyPcuq8Z18cIiyBuVCLj4ukje3lXZyuNFVmbum4lngedsMtOJrzX9IiMSc9mH/Sph2ZtjNpWRIikjtN06iWetm/7rwstyxEFARHDPG3PO/WyL8cFWRum/9dmiAy0TZxo2drlldYtuG5bCW9uUG/vPwwapGodRGQEBmWDuvlVMDKq1QcwzQTifvXByW/KeRz252GR9Sx5+ERPLygA5/4XqriEGLXl5ixo2rME5hn1Q5ttpjEz32do3VZxp/4TkuJqhCB8Zt7o5J8Fdx5pClnArbfaQe99PY6UVONH61JylP4iWu7Dy14yJA/ENsXdo3u6giRatqpZ30pioHzoSsrFQjPlT17ZDp6kGHb2v5e/9n+zBwGqYMi7x1qifxMeYgv4fso6P0O4dDps/0RTsurHCuQINBFykZnkBEACr/DJs2rhAJOUlMiZzmuI75QhUYtKNr32PLbxXnI/GzR9eViO7yaEb/6mCOlHPkt3tvIEQHsqvIO7DG2NAbqZaUnYphN4+EgjFL7IXAV3IeLs05fIsymy9R8Td5wauaJ39P0JmGfwQq27S0CAIi9ALdXFb6ugMcXGfU8RlcO+e5x+qTaLO7ahuU1AOoHXzFN0nzt0MTT28WL/dUPBuHaRIXvmyZUnB/qwKCQn+YWou0fJCsAuRfF3Ga+Iw1s4hz5F6p35IPN93e1mGdRiQ103iT4JgOgrMg7qt/zLbKrSpBOaJUp61ztWsb2wyBY7R4MFfCS9oc5QEeUqQpqWsIQff3tozNl+aQ55xw80vvIngB5IEKE5IMxCUuCeVcz8TwhlXlMTpLiueC7ZATryYVgl/l4ZlUQZ41xqoLo1KeSNzUy6rBtjJTfofJi4DmM6BmIxIArrYTnfuQcFKuiGcgU3ulQf//REfibOat5vve7AMiu6jXM61flD+FHTZvjaOWlFzTsObL2ArJQB+vDo+7cBItktQcpom1XUaBkz1y30fqWjRX1WXp0EcxmWiEXZ4R0UHVzYIJI9iVA4wI2+TcvyycGrv5Wd07orLNUYDl8OOpyUHDg8svhWkvZjc7SxPiz1+OixA1y3yRJJ3Q6lIPqPARDasdWPRnk5qTDb7mpikxQARAQABiQI8BBgBCAAmFiEE8S2W1bFsJg0Nwn01XGipfFzwsNwFAlykZnkCGwwFCQPCZwAACgkQXGipfFzwsNzpfxAAqlrBdVtPfsEr3kK6zej1hl0qxR6vJHohKvyLAZDSU5LtkvLK12yMiyYLF4bKaClHOvq1lSaHLdlIXKzr7RJWZCxikoTPoUZgJJVFGJ5D8xC51WPlNimSzeVB0HPK4yrQNWbC8GziOEeEcTSnlFGSsRxjqh+0pdupCnKKUEmhYJ8lsrJ9eu2Cas3EgOX6jwFRN2VnrZQoo40NJYZ9jrzSjssSzND/wGiWmnYVAP8dCFVrvsjaFaI5FTtb697yhkmZal05UwqQh33Sq0V6oDsVAvrhclJoaxzIFXlg3eHEwFr9gK8pQy4DBdsrx5kd85nxEafLZQyKBuV+A4foM0LlOlAJT/U3XaOurTMxub189uHvYNofylrXqy2RylwfguYt+s/B20MWVq1dNdgo41XYsRZoFpU9tOBhoDe6djbKwpMXVnwNc4J4aDy/ALEG0CIJaDE8o8PTWfsHnCiDk/Yc+o4on4+eK/6KeGdtYrxtaKod0IJrQppQxZ+9ZLdzIGaorgR5/EOc48sqTYm7GzgnD4JPwASaSUuPSbBKPq8InMbwUfeoGKDWl9wrzi/0uJg8iW1VPSk6wwX7kvqS+8hngVNsp6Y94iTqk60nJk/f+NmmKhv2YOMH7jdK9qTuW4GCcndxWcwQSZnUEKzr6rV8wR6Dm+Z3iNSoURKsqSgemNY==SfEx

回報漏洞

* 如果我們的IT團隊無法重製並驗證問題，則不會分配獎勵。

* 請附上您的比特幣 / 以太幣地址以便接收獎勵。

合格（範圍）

參與漏洞獎勵計畫的合格標準為SpectroCoin提供的所有服務，包含SpectroCoin的iOS和安卓的應用程式，SpectroCoin錢包，API，商家工具，卡片和交易等。

一般而言，可能使財務損失或洩露數據的漏洞被認為具有足夠的嚴重性，其中包含但不限於：

- 跨站請求偽造(Cross-Site Request Forgery (CSRF))
- 跨網站指令碼(Cross-Site Scripting (XSS))
- 程式碼插入(Code Injection)
- 遠端程式碼執行(Remote Code Execution)
- 特權提升(Privilege Escalation)
- 略過驗證或權限檢查(Authentication Bypass)
- 點擊劫持(Clickjacking)
- 洩漏敏感數據(Leakage of Sensitive Data)

不合格（超出範圍）

通常，以下漏洞不符合嚴重性門檻：

- 第三方管理的網站上的漏洞，除非它們導致在主要網站上的漏洞(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)
- 密碼複雜性要求(Password complexity requirements)
- Self-XSS
- 阻斷服務(DoS)(Denial of service (DoS))
- 濫發電子訊息(Spamming)
- 可用性問題(Usability issues)
- 影響過時或未修補的瀏覽器的漏洞(Vulnerabilities affecting outdated or unpatched browsers)
- 第三方應用程式中使用SpectroCoin API，但漏洞來自於第3方程式(Vulnerabilities in third party applications which make use of the SpectroCoin API)
- 無漏洞利用能力示範，來自自動化工具或掃描的報告(Reports from automated tools or scans, without exploitability demonstration)
- 非技術攻擊，如物理攻擊，社交工程，網絡釣魚等。 (Non-technical attacks, such as physical attack, social engineering, phishing, etc.)
- 之前已經報告過的漏洞(Bugs that have been already reported before)
- 我們已經知道的漏洞(Bugs known to us)
- 無法重現的漏洞(Non-reproducible issues)

如何協助保護SpectroCoin和我們的用戶

回報漏洞

漏洞獎勵 計劃

披露責任

獎勵

如何報告漏洞

合格（範圍）

不合格（超出範圍）

如何協助保護SpectroCoin和我們的用戶

漏洞獎勵
計劃