Program wykrywania luk w bezpieczeństwie na portalu Cloudbet

Wstęp

Firma Halcyon Super Holdings BV (dalej „Cloudbet” lub „my”) jest właścicielem i obsługuje serwis www.cloudbet.com. Cloudbet to lider wśród kasyn internetowych obsługujących kryptowaluty, który angażuje się w utrzymywanie wysokich standardów dotyczących uczciwości i bezpieczeństwa podczas korzystania z usług rozrywkowych. W ramach działań dotyczących zapewniania bezpieczeństwa i prywatności uruchamiamy Program wykrywania luk w bezpieczeństwie, mający na celu zachęcić analityków oraz entuzjastów bezpieczeństwa do identyfikowania i zgłaszania słabych stron naszego portalu.

Nagrody i priorytety

  • Łowcy luk w bezpieczeństwie otrzymają wypłaty w USDT, a wszystkie zgłoszenia będą klasyfikowane pod względem ważności.
  • Nagrody będą przyznawane według naszego uznania, a zarówno górne, jak i dolne limity wypłat nie obowiązują. Jesteśmy jednak gotowi wypłacić znaczne nagrody (10 000 $ lub więcej) za wykrycie i zgłoszenie szczególnie poważnych luk.
  • Nagrody przyznawane są pierwszej osobie, która powiadomi nas o wcześniej niezauważonym problemie, który wymaga zmiany kodu lub konfiguracji.

Poziomy zagrożeń

  • Nagroda za wykrycie kwalifikujących się zagrożeń będzie zależna od wpływu i powagi problemu, ocenionego przez nasz dział bezpieczeństwa.
  • Poziomy zagrożeń ułożone od najmniej poważnego i najsłabiej nagradzanego to: niski, średni, wysoki, krytyczny.
  • Zagrożenia niższego poziomu to np. techniczne problemy dotyczące konfiguracji, a wyższego – krytyczne problemy takie jak usterki w umowach czy wycieki danych dotyczących prywatnych portfeli, które mogą narazić naszą organizację na zakłócenia w oferowaniu usług lub utratę środków finansowych.

Zakres

Zakres programu

  • Witryna cloudbet.com i wszelkie powiązane z nią usługi.
  • API Cloudbet, blockchain oraz infrastruktura zagrożeń.
  • Zagrożenia płynące z elektronicznych umów powiązanych z Cloudbet.

Poza zakresem programu

Niżej wymienione działalności są specjalnie wyłączone z Programu wykrywania luk w bezpieczeństwie, dlatego prosimy o powstrzymanie się od ich zgłaszania i dokonywania.

  • Wszelkie fizyczne próby uzyskania dostępu do własności Cloudbet.
  • Korzystanie z inżynierii społecznej (np. phishingu) w celu pozyskania poufnych informacji.
  • Odmowa usługi (DoS/DDoS).
  • Zagrożenia płynące z usług oferowanych przez osoby trzecie powiązane z Cloudbet.
  • Mniejsze błędy techniczne związane z konfiguracją lub problemy na niepoufnych stronach.
  • Wszelkie podobne działania wymienione, ale nie ograniczone, do powyższej listy.

Zgłaszanie problemu

Zgłaszając problem, należy:

  • załączyć szczegółowe kroki pozwalające na odtworzenie symulacji zagrożenia.
  • dołączyć dowód na istnienie zagrożenia, taki jak zrzut ekranu, nagranie lub zapis, w tym link URL użyty przy wykryciu zagrożenia. Dowód ten należy przesłać nam jako załącznik w wiadomości e-mail, unikając przy tym korzystania z ogólnodostępnych usług osób trzecich.
  • przesłać swoje zgłoszenie na adres e-mail [email protected]. Na zgłoszenia dotyczące problemów na poziomie średnim i wysokim staramy się odpowiadać w ciągu siedmiu dni roboczych. Na zgłoszenia czysto informacyjne lub na poziomie niskim odpowiemy w ciągu 30 dni. Wszystkie zgłoszenia są dla nas ważne, aczkolwiek wiadomości o charakterze spamu będą usuwane. Aby upewnić się o słuszności swojego zgłoszenia, zalecamy skorzystać z naszych wytycznych dotyczących zgłaszania problemów. Dokonujemy wszelkich starań, aby na bieżąco publikować status każdego zgłoszenia, nawet jeśli natychmiastowe rozwiązanie problemu nie jest jeszcze znane. Prosimy również o zaniechanie kontaktu z nami w celu otrzymania aktualizacji dotyczącej problemu, który już przyjęto, ponieważ wcale nie usprawnia to rozwiązania problemu.

Program „Bezpieczna przystań”

W celu zachęty do badań nad bezpieczeństwem i zaniechania nieporozumień związanych z hakowaniem w dobrej wierze i złośliwymi atakami prosimy o przestrzeganie poniżej zawartych wytycznych.

  • Zakaz wykorzystywania zagrożeń do modyfikowania, uszkadzania, zmieniania lub zdobywania dostępu do danych nienależących do zgłaszającego.
  • Zakaz wykorzystywania zagrożeń do celów innych, niż demonstracja tegoż zagrożenia.
  • Zakaz dokonywania ataków na nasze systemy w ramach Odmowy usługi (DoS/DDoS) na poziomie sieciowym.
  • Zakaz wykorzystywania zagrożeń w celu atakowania naszych pracowników i klientów.
  • Zakaz zgłaszania zagrożeń przy jednoczesnym stawianiu warunków, wymagań lub gróźb.

Przestrzegając tych wytycznych, obiecujemy, że:

  • nie będziemy podejmować działań prawnych przeciwko zgłaszającym ani zgłaszać ich w związku z prowadzonymi przez nich w dobrej wierze badaniami nad bezpieczeństwem, w tym w związku z omijaniem środków technologicznych, których używamy do ochrony aplikacji objętych zakresem umowy, oraz że;
  • opowiemy się po stronie zgłaszających, w przypadku gdy osoby trzecie podejmą działania prawne przeciwko zgłaszającym w związku z ich prowadzonymi w dobrej wierze badaniami.

Prosimy o kontakt w celu uzyskania wyjaśnienia sprawy przed rozpoczęciem eksperymentu, który według zgłaszającego może być niezgodny z prowadzeniem badań nad bezpieczeństwem w dobrej wierze, lub który nie jest opisany w naszej polityce.

Jednocześnie przypominamy, iż nie możemy zatwierdzić badań nad bezpieczeństwem dotyczących infrastruktury osób trzecich oraz że osoby trzecie nie są związane z niniejszym oświadczeniem w ramach programu „Bezpieczna przystań”.

Zgodność

  • Zgłaszający jest obowiązany w każdym momencie działać w dobrej wierze oraz zgodnie z wszelkimi obowiązującymi przepisami prawa i regulacjami, nie wyłączając tych obowiązujących w jurysdykcji obszaru, na którym przeprowadzane są badania.
  • Zgłaszający musi przestrzegać wszystkich odpowiednich wymogów licencyjnych, ubezpieczeniowych, dotyczących prywatności lub innych wymogów regulacyjnych i ponosi on wyłączną odpowiedzialność za wszelkie rekompensaty, licencje, opłaty regulacyjne lub składki, ubezpieczenie lub wszelkie inne powiązane koszty i obowiązki prawne wymagane od zgłaszającego, działającego jako badacz bezpieczeństwa otrzymujący nagrody w ramach naszego Programu wykrywania luk w bezpieczeństwie.

Zmiany w Programie wykrywania luk w bezpieczeństwie

  • Cloudbet zastrzega sobie prawo do zmiany wszelkich lub wszystkich szczegółów związanych i obecnie zawartych w Programie wykrywania luk w bezpieczeństwie bez wcześniejszego powiadomienia. Wszelkie takie korekty lub zmiany będą obowiązywać natychmiastowo po ich wprowadzeniu.
  • Zalecamy dokonywania regularnego przeglądu niniejszego dokumentu w celu sprawdzenia, czy nie wprowadzono zmian w Programie wykrywania luk w bezpieczeństwie, które mogą wpłynąć na prawa lub obowiązki zgłaszającego.

Dodatkowe zapiski

  • Udział w Programie wykrywania luk w bezpieczeństwie nie jest stworzony w celu zawarcia umów partnerskich, umów o wspólne przedsięwzięcie kapitałowe lub relacji biznesowych pomiędzy zgłaszającym, a serwisem Cloudbet.

  • W maksymalnym zakresie dozwolonym przez prawo portal Cloudbet nie będzie ponosić odpowiedzialności za jakiekolwiek bezpośrednie, celowe, przypadkowe, przykładowe, karne lub wtórne szkody (w tym utratę możliwości brania udziału w Programie wykrywania luk w bezpieczeństwie, utratę danych, działalności lub zysków) powstałe w wyniku lub w związku z udziałem zgłaszającego w Programie, bez względu na to czy ta odpowiedzialność wynika z jakichkolwiek roszczeń z związku z umową, gwarancją, czynem niedozwolonym (w tym zaniedbaniem) lub z odpowiedzialności na zasadzie ryzyka lub innego rodzaju oraz bez względu na to, czy firma Cloudbet została poinformowana o możliwości wystąpienia takiej straty lub szkody.