BANKERA

スペクトロコインがシステムバグ検出報酬制度を始動

どうもshoto です。

バンクエラの金融エコシステムの1つ「スペクトロコイン」。

スペクトロコインは主に暗号通貨の販売や決済、ウォレットなど様々なサービスを展開していますが、先日「バグ検出報酬制度」というプロジェクトを始動させました。

IT業界でいう「バグ」とは、プログラムやソフトウェアなどの欠陥を指しますが、今回のプロジェクトではプログラムの欠陥やシステムの脆弱性を発見した人に金銭的報酬を贈呈するというものになります。

このことからもバンクエラやスペクトロコインがセキュリティの優先順位が高いことがうかがえますよね。

この記事ではスペクトロコインのシステムバグ検出報酬制度について簡単にまとめていきたいと思います!

バンクエラについて知らないという方はバンクエラ【BANKERA】の仮想通貨BNKや取引所について解説で詳しく解説していますので、これを読めばバンクエラを総体的に把握することができます!

スペクトロコインについてはスペクトロコインとは?便利な3つの仮想通貨サービスまとめで詳しく解説しています。

スペクトロコインのバグ検出報酬制度

スペクトロコインのバグ検出報酬制度では、スペクトロコインが提供するIOSやAndroidのスペクトロコインアプリ、スペクトロコインウォレット、提供するAPIなどの提供するサービス内での脆弱性の検出・報告が報奨金制度の対象となっています。

脆弱性には適正項目、不適正項目がありますので、次に詳細を記載します。

スペクトロコインの脆弱性適正・不適正項目

適正項目

財務上の損失やデータ侵害の可能性がある脆弱性は、十分な重大性であると定義されますが、必ずしもそうである必要はありません。

  • クロスサイトリクエストフォージェリ(Cross-Site Request Forgery (CSRF))

  • クロスサイトスクリプティング(Cross-Site Scripting (XSS))

  • インジェクション攻撃(Code Injection)

  • リモートでコードを実行(Remote Code Execution)

  • 特権昇格(Privilege Escalation)

  • 認証バイパス(Authentication Bypass)

  • クリックジャッキング(Clickjacking)

  • 機密データの漏洩(Leakage of Sensitive Data)

不適正項目

次の脆弱性は重大性の基準値を満さないものになります。

  • メインのWebサイトに脆弱性を引き起こさない、サードパーティサイトの脆弱性。(Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website)

  • パスワードの複雑さの要件(Password complexity requirements)

  • セルフXSS(Self-XSS)

  • Dos攻撃(DoS)(Denial of service (DoS))

  • スパム(Spamming)

  • ユーザビリティの問題(Usability issues)

  • 旧式ブラウザやパッチの適用されていないブラウザに影響を及ぼす脆弱性(Vulnerabilities affecting outdated or unpatched browsers)

  • スペクトロコインのAPIを使用するサードパーティアプリケーションの脆弱性(Vulnerabilities in third party applications which make use of the SpectroCoin API)

  • エクスプロイタビリティ・デモンストレーションのない、自動ツールやスキャンによるレポート(Reports from automated tools or scans, without exploitability demonstration)

  • 物理的な攻撃、ソーシャルエンジニアリング、フィッシングなどの非テクニカル攻撃など(Non-technical attacks, such as physical attack, social engineering, phishing, etc.)

  • 報告済みの脆弱性(Bugs that have been already reported before)

  • 把握している脆弱性(Bugs known to us)

  • 再現性のない問題(Non-reproducible issues)

スペクトロコインのバグ検出報奨金について

以下の表がバグを検出・報告した際の報奨金額一覧です。

リモートでコードを実行 最大$10,000
アカウント残高の深刻な操作 最大$5,000
機密性の高い操作 XSS/CSRF/Clickjacking 最大$3,500
秘匿特権情報の盗難 最大$2,500
部分認証バイパス 最大$1,500
その他のXSS(セルフXSSを除く) 最大$500
財務またはデータ損失の可能性がある他の脆弱性 最大$500
その他のCSRF(ログアウトCSRFを除く) 最大$100

脆弱性を報告する方法

もし、サービスを利用していて適正項目内に該当する脆弱性を発見した場合、その報告方法として脆弱性のレポートをtechnical@spectrocoin.comに送付し、報告することが条件となります。

また、その際に脆弱性の証明(スクリーンショット/ビデオ/スクリプト)が必要となるほか、一般公開されているWebサイトなどへの公開は禁止となっているので注意が必要です。

ということでスペクトロコインのシステムバグ検出報酬制度について簡単にまとめました!

最近ではソースコードをGithubなどに公開し、世界中の開発者と共同でプロダクトをブラシュアップするサービス提供者も増えています。

この方法はインセンティブを設けることで世界中の優秀なエンジニアの力を借りることができるため、多くのメリットがあります。

セキュリティ人材は獲得が難しいこともあり、スペクトロコインのシステムバグ検出報酬制度はかなり効果的だと感じています。

これでサービスプロダクトがよりブラッシュアップされるのが楽しみです!

Source of photo:https://spectrocoin.com


記事にBitcoinを投げ銭する!
%d人のブロガーが「いいね」をつけました。