Cloudbet Bug Bounty-program
Bevezető
A www.cloudbet.com tulajdonosa és üzemeltetője a Halcyon Super Holdings BV (a továbbiakban „Cloudbet” vagy „mi”). A Cloudbet egy vezető online kriptoszórakoztatási platform, amely elkötelezett a legmagasabb szintű integritás és biztonság mellett a játékélmény érdekében. A biztonság és az adatvédelem iránti elkötelezettségünk részeként elindítjuk a Bug Bounty-programot, hogy a kutatókat és a biztonság iránti lelkes érdeklődőket arra ösztönözzük, hogy azonosítsák és jelentsék a platformunk sebezhetőségeit.
Jutalmak és prioritizálás
- A bug bounty-jutalmakat USDT-ben fizetjük ki, és minden bejelentést prioritás alapján sorolunk be.
- A jutalmakat saját belátásunk szerint ítéljük oda, szigorú minimális vagy maximális limit nélkül. A különösen súlyos problémák esetén azonban várhatóan jelentősen többet (10 000 USD-t vagy annál is többet) fizetünk.
- Ahhoz, hogy jogosult legyél a jutalomra, az első személynek kell lenned, aki értesít minket egy korábban nem ismert problémáról, amely a kód vagy a konfiguráció módosításához vezet.
Sebezhetőségi szintek
- A sebezhetőségekért járó jutalom a bejelentett hibák hatásától és súlyosságától függően változik, a biztonsági csapatunk által meghatározottak szerint.
- A sebezhetőségi szintek növekvő sorrendben a prioritás és a jutalmak alapján a következők: informatív, alacsony, közepes, magas és kritikus.
- Az alacsonyabb szintek olyan alacsony jelentőségű problémákra utalnak, mint például a technikai konfigurációs hibák, míg a magasabb szintek olyan kritikus problémákat foglalnak magukban, mint az okosszerződés hibái, a pénztárca privát kulcsának kiszivárgása stb., amelyek jelentős üzleti fennakadásokat vagy pénzügyi veszteséget okozhatnak.
Hatáskör
A hatáskörön belül találhatók:
- A cloudbet.com webhely és a kapcsolódó szolgáltatások.
- A Cloudbet API-k, a blokklánc és az infrastruktúra sebezhetőségei.
- Sebezhetőségek a Cloudbethez kapcsolódó okosszerződésekben.
A hatáskörön kívül esnek:
A következő észrevételek ki vannak zárva a Bug Bounty programból, és kérjük, hogy ezeket ne jelentsd, illetve ne hajtsd végre:
- A Cloudbet tulajdonához való fizikai hozzáférési kísérletek.
- Pszichológiai manipuláció (pl. adathalászat) alkalmazása magánjellegű információk megszerzésére.
- Szolgáltatásmegtagadással járó támadás (DoS/DDoS).
- A Cloudbethez kapcsolódó harmadik felek szolgáltatásainak sebezhetőségei.
- Kisebb technikai konfigurációs hibák vagy problémák nem érzékeny oldalakon.
- A fenti, nem teljes körű felsoroláshoz hasonló jellegű tevékenységek.
A jelentés benyújtása
A beadványban tüntesd fel a következőket:
- Részletes lépések a sebezhetőség reprodukálásához.
- Ellenőrizhető bizonyítékok a sebezhetőség létezésére, például képernyőkép, videó vagy szkript, beleértve a sebezhetőség felfedezéséhez használt URL-címeket is. Kérjük, hogy ezeket a bizonyítékokat e-mail-mellékletként küldd el, és ne nyilvánosan elérhető harmadik felek szolgáltatásain keresztül.
- Kérjük, a jelentést a [email protected] címre küldd el. A közepes és magasabb prioritású jelentésekre 7 munkanapon belül igyekszünk válaszolni. Az alacsony prioritású vagy elsősorban tájékoztatási célú jelentések esetében 30 napon belül válaszolunk. Minden bejelentést nagyra értékelünk, de a spam bejelentéseket töröljük. Kérjük, tekintsd át a bejelentési irányelveket az érvényes beadványok benyújtásához. Törekszünk arra, hogy tájékoztatást nyújtsunk minden jelentés előrehaladásáról, még akkor is, ha azonnali megoldás nem érhető el. Kérjük, ne kérj tájékoztatást e-mailben a már elfogadott hibajelentésekről, mivel ez nem gyorsítja fel a megoldási folyamatot.
Biztonságos kikötő
A biztonsági kutatások ösztönzése és a jóhiszemű hackelés és a rosszindulatú támadások közötti félreértések elkerülése érdekében kérjük, tartsd be az alábbi irányelveket:
- Ne használd ki a sebezhetőségeket olyan adatok elérésére, módosítására, megkárosítására vagy más módon történő megváltoztatására, amelyek nem a tulajdonodat képezik.
- Ne használd ki a sebezhetőségeket, kivéve, ha azt a számunkra történő bemutatás céljából teszed.
- Ne hajts végre hálózati szintű szolgáltatásmegtagadással járó támadásokat (DoS/DDoS) a rendszereink ellen.
- Ne vedd célba az alkalmazottainkat és az ügyfeleinket.
- Ne tegyél bejelentést a sebezhetőségekről feltételekkel, követelésekkel vagy váltságdíjjal való fenyegetésekkel.
Ha követed ezeket az irányelveket, vállaljuk a következőket:
- Nem indítunk jogi eljárást ellened, és nem jelentünk fel téged jóhiszemű biztonsági kutatásért, beleértve a hatáskörbe tartozó alkalmazások védelme érdekében alkalmazott technológiai intézkedések megkerülését is.
- Vállaljuk, hogy kiállunk melletted, ha egy harmadik fél jogi lépéseket kezdeményez ellened a jóhiszemű biztonsági kutatásoddal kapcsolatban.
Mielőtt olyan magatartást tanúsítanál, amelyről úgy gondolod, hogy nem felel meg a jóhiszemű biztonsági kutatásnak, vagy amelyet a szabályzatunk nem szabályoz, fordulj hozzánk tájékoztatásért.
Felhívjuk a figyelmedet arra, hogy nem áll módunkban engedélyezni a harmadik felek infrastruktúráján végzett biztonsági kutatásokat, és a harmadik felekre nem vonatkozik ez a biztonságos kikötőről szóló nyilatkozat.
Megfelelőség
- Mindig jóhiszeműen és az összes alkalmazandó törvénynek és előírásnak megfelelően kell cselekedned, beleértve a biztonsági kutatás elvégzésének helye szerinti helyi joghatóságban érvényes törvényeket és előírásokat.
- Be kell tartanod az összes vonatkozó engedélyezési, biztosítási, adatvédelmi vagy egyéb szabályozási követelményt, és kizárólag te vagy felelős minden kompenzációért, engedélyezési, szabályozási díjért vagy illetékért, biztosításért vagy bármely más kapcsolódó költségért és jogi kötelezettségért, amelyet a Bug Bounty-program részeként jutalomban részesülő biztonsági kutatóként megkövetelünk tőled.
Változások a Cloudbet Bug Bounty-programban
- A Cloudbet fenntartja a jogot, hogy a jelen dokumentumban szereplő Bug Bounty-program bármely részletét bármikor, előzetes értesítés nélkül módosítsa. Az ilyen módosítások és kiegészítések azonnal hatályba lépnek.
- A te felelősséged, hogy rendszeresen áttekintsd ezt a dokumentumot a Bug Bounty-program esetleges módosításai miatt, amelyek hatással lehetnek a jogaidra vagy kötelezettségeidre.
Egyebek
A Bug Bounty-programban való részvételed nem tekinthető vagy értelmezhető úgy, hogy bármilyen partnerség, közös vállalkozás vagy ügynökségi kapcsolat jön létre közted és a Cloudbet között.
A Cloudbet nem tartozik felelősséggel semmilyen közvetlen, különleges, véletlenszerű, példamutató, büntető jellegű vagy következményes károkért (beleértve a használat, az adatok, az üzlet vagy a nyereség elvesztését) a törvény által megengedett maximális mértékig, amelyek a Bug Bounty-programban való részvételéből erednek, függetlenül attól, hogy az ilyen felelősség szerződésen, garancián, jogellenes károkozáson (beleértve a gondatlanságot), szigorú felelősségen vagy más módon alapuló követelésből ered, és függetlenül attól, hogy a Cloudbetet tájékoztatták-e az ilyen veszteség vagy kár bekövetkezésének lehetőségéről.