Bug Bounty-Programm von Cloudbet
Einleitung
www.cloudbet.com ist Eigentum und wird betrieben von Halcyon Super Holdings BV (im Folgenden „Cloudbet“, „wir“ oder „uns“). Cloudbet ist eine führende Online-Krypto-Unterhaltungsplattform, die sich zu den höchsten Integritäts- und Sicherheitsstandards für das Spielerlebnis verpflichtet hat. Als Teil unseres Engagements für Sicherheit und Datenschutz starten wir ein Bug Bounty Programm, mit dem wir Forscher und Sicherheitsbegeisterte dazu ermutigen, Schwachstellen in unserer Plattform zu ermitteln und zu melden.
Prämien und Priorisierung
- Fehler-Kopfgelder werden in USDT ausgezahlt. Alle Einsendungen werden nach Priorität eingestuft.
- Die Prämien werden nach unserem alleinigen Ermessen vergeben und unterliegen keinen strengen Mindest- oder Höchstgrenzen. Allerdings planen wir, für besonders schwerwiegende Probleme deutlich mehr zu zahlen (10.000 US-Dollar oder mehr).
- Um sich für eine Prämie zu qualifizieren, musst du als Erster uns auf ein bisher unbekanntes Problem, das zu einer Code- oder Konfigurationsänderung führt, aufmerksam machen.
Schwachstellenstufen
- Die Prämie für geeignete Schwachstellen hängt von den Auswirkungen und dem Schweregrad der gemeldeten Fehler ab, die von unserem Sicherheitsteam festgelegt werden.
- Die Schwachstellenstufen in aufsteigender Reihenfolge der Priorität und Prämien sind Informativ, Niedrig, Mittel, Hoch und Kritisch.
- Die niedrigeren Stufen beziehen sich auf Probleme mit geringer Auswirkung, wie z. B. technische Fehlkonfigurationen, während zu den höheren Stufen kritische Probleme gehören, wie z. B. Fehler in intelligenten Verträgen, Schwachstellen von privaten Schlüsseln in Wallets usw., die zu erheblichen Geschäftsunterbrechungen oder finanziellen Verlusten führen können.
Umfang
Innerhalb des Umfangs
- Cloudbet.com-Website und zugehörige Dienste.
- Cloudbet-APIs, Blockchain- und Infrastruktur-Schwachstellen.
- Schwachstellen in intelligenten Verträgen in Verbindung mit Cloudbet.
Außerhalb des Umfangs
Die folgenden Fundstücke sind ausdrücklich vom Bug Bounty-Programm ausgeschlossen. Wir bitten dich, von Versuchen, diese Aktionen zu melden oder durchzuführen, abzusehen:
- Jegliche physischen Zugriffsversuche auf Cloudbet-Eigentum.
- Verwendung von Social Engineering (z. B. Phishing), um an private Informationen zu gelangen.
- Denial of Service (DoS/DDoS).
- Schwachstellen in den mit Cloudbet verbundenen Drittanbieter-Diensten.
- Geringfügige technische Fehlkonfigurationen oder Probleme auf nicht sensiblen Seiten.
- Jegliche Handlungen ähnlicher Art wie die vorstehende, unvollständige Liste.
Einreichen deines Berichts
Gib in deiner Einsendung Folgendes an:
- Detaillierte Schritte zur Reproduktion der Schwachstelle.
- Überprüfbare Beweise für das Vorhandensein der Schwachstelle, wie z. B. ein Screenshot, ein Video oder ein Skript, einschließlich der URLs, die zum Aufdecken der Schwachstelle verwendet wurden. Bitte sende diese Beweise als E-Mail-Anhänge und nicht über öffentlich zugängliche Drittanbieter-Dienste.
- Bitte senden deinen Bericht an [email protected]. Wir bemühen uns, auf Meldungen mit mittlerer und höherer Priorität innerhalb von 7 Werktagen zu reagieren. Meldungen mit niedriger Priorität oder solche, die in erster Linie Informationszwecken dienen, werden innerhalb von 30 Tagen beantwortet. Auch wenn wir alle Meldungen begrüßen, werden Spam-Meldungen jedoch verworfen. Bitte beachte unsere Melderichtlinien für gültige Einsendungen. Wir bemühen uns, dich über den Fortschritt aller Meldungen auf dem Laufenden zu halten, auch wenn eine sofortige Lösung nicht möglich ist. Bitte sehe davon ab, E-Mails mit der Bitte um Aktualisierungen zu bereits bestätigten Fehlermeldungen zu senden, da dies den Lösungsprozess nicht beschleunigt.
Sicherer Hafen
Um die Sicherheitsforschung zu fördern und eine Verwechslung zwischen Hacking im guten Glauben und böswilligen Angriffen zu vermeiden, halte dich bitte an die folgenden Richtlinien:
- Nutze die Schwachstellen nicht dazu, auf Daten, die dir nicht gehören, zuzugreifen, sie zu modifizieren, zu beschädigen oder anderweitig zu verändern.
- Nutze keine Schwachstellen aus, außer zu Demonstrationszwecken.
- Führe keine Denial-of-Service-Angriffe (DoS/DDoS) auf Netzwerkebene gegen unsere Systeme durch.
- Greife nicht unsere Mitarbeiter und Kunden an.
- Melde keine Schwachstellen in Verbindung mit Bedingungen, Forderungen oder Lösegelddrohungen.
Wenn du diese Richtlinien befolgst, verpflichten wir uns, dass wir:
- keine rechtlichen Schritte gegen dich einleiten oder dich wegen Sicherheitsforschung im guten Glauben anzeigen werden, auch nicht wegen Umgehung der technischen Maßnahmen, die wir zum Schutz der betreffenden Anwendungen einsetzen; und,
- uns für dich einsetzen werden, wenn ein Dritter im Zusammenhang mit deiner gutgläubigen Sicherheitsforschung rechtliche Schritte gegen dich einleitet.
Setze dich mit uns in Verbindung, bevor du ein Verhalten an den Tag legst, das deiner Meinung nach mit gutgläubiger Sicherheitsforschung unvereinbar ist oder von unserer Richtlinie nicht abgedeckt wird.
Beachte, dass wir nicht in der Lage sind, Sicherheitsforschung in der Drittanbieter-Infrastruktur zu genehmigen, und dass Dritte nicht an diese Erklärung zum sicheren Hafen gebunden sind.
Compliance
- Du musst jederzeit in gutem Glauben und in Übereinstimmung mit allen anwendbaren Gesetzen und Vorschriften handeln, einschließlich derjenigen, die in deiner lokalen Gerichtsbarkeit gelten, in der die Sicherheitsforschung durchgeführt wird.
- Du musst alle relevanten Lizenzierungs-, Versicherungs-, Datenschutz- oder sonstigen regulatorischen Anforderungen erfüllen. Du bist für alle Entschädigungen, Lizenzierungs-, regulatorischen Gebühren oder Abgaben, Versicherungen oder sonstigen damit verbundenen Kosten und rechtlichen Pflichten, die von dir als Sicherheitsforscher, der Prämien im Rahmen unseres Bug Bounty-Programms erhält, verlangt werden, allein verantwortlich.
Änderungen am Bug Bounty-Programm von Cloudbet
- Cloudbet behält sich das Recht vor, alle in diesem Dokument aufgeführten Details des Bug Bounty-Programms jederzeit und ohne Vorankündigung zu ändern. Solche Überarbeitungen und Ergänzungen werden sofort wirksam.
- Du bist dafür verantwortlich, dieses Dokument regelmäßig auf Änderungen des Bug Bounty-Programms zu überprüfen, die deine Rechte oder Pflichten betreffen könnten.
Sonstiges
Deine Teilnahme am Bug Bounty-Programm darf nicht so ausgelegt werden, dass eine Partnerschaft, ein Joint Venture oder eine Agenturbeziehung zwischen dir und Cloudbet entsteht.
Soweit gesetzlich zulässig, haftet Cloudbet in keinem Fall für direkte, besondere, zufällige, exemplarische, strafende oder Folgeschäden (einschließlich Nutzungs-, Daten-, Geschäfts- oder Gewinnverluste), die sich aus oder in Verbindung mit deiner Teilnahme am Bug Bounty-Programm ergeben, unabhängig davon, ob eine solche Haftung aus einem Anspruch entsteht, der auf einem Vertrag, einer Garantie, einer unerlaubten Handlung (einschließlich Fahrlässigkeit), einer verschuldensunabhängigen Haftung oder anderweitig beruht, und unabhängig davon, ob Cloudbet auf die Möglichkeit eines solchen Verlusts oder Schadens hingewiesen wurde oder nicht.