Program wykrywania luk w bezpieczeństwie na portalu Cloudbet
Wstęp
Firma Halcyon Super Holdings BV (dalej „Cloudbet” lub „my”) jest właścicielem i obsługuje serwis www.cloudbet.com. Cloudbet to lider wśród kasyn internetowych obsługujących kryptowaluty, który angażuje się w utrzymywanie wysokich standardów dotyczących uczciwości i bezpieczeństwa podczas korzystania z usług rozrywkowych. W ramach działań dotyczących zapewniania bezpieczeństwa i prywatności uruchamiamy Program wykrywania luk w bezpieczeństwie, mający na celu zachęcić analityków oraz entuzjastów bezpieczeństwa do identyfikowania i zgłaszania słabych stron naszego portalu.
Nagrody i priorytety
- Łowcy luk w bezpieczeństwie otrzymają wypłaty w USDT, a wszystkie zgłoszenia będą klasyfikowane pod względem ważności.
- Nagrody będą przyznawane według naszego uznania, a zarówno górne, jak i dolne limity wypłat nie obowiązują. Jesteśmy jednak gotowi wypłacić znaczne nagrody (10 000 $ lub więcej) za wykrycie i zgłoszenie szczególnie poważnych luk.
- Nagrody przyznawane są pierwszej osobie, która powiadomi nas o wcześniej niezauważonym problemie, który wymaga zmiany kodu lub konfiguracji.
Poziomy zagrożeń
- Nagroda za wykrycie kwalifikujących się zagrożeń będzie zależna od wpływu i powagi problemu, ocenionego przez nasz dział bezpieczeństwa.
- Poziomy zagrożeń ułożone od najmniej poważnego i najsłabiej nagradzanego to: niski, średni, wysoki, krytyczny.
- Zagrożenia niższego poziomu to np. techniczne problemy dotyczące konfiguracji, a wyższego – krytyczne problemy takie jak usterki w umowach czy wycieki danych dotyczących prywatnych portfeli, które mogą narazić naszą organizację na zakłócenia w oferowaniu usług lub utratę środków finansowych.
Zakres
Zakres programu
- Witryna cloudbet.com i wszelkie powiązane z nią usługi.
- API Cloudbet, blockchain oraz infrastruktura zagrożeń.
- Zagrożenia płynące z elektronicznych umów powiązanych z Cloudbet.
Poza zakresem programu
Niżej wymienione działalności są specjalnie wyłączone z Programu wykrywania luk w bezpieczeństwie, dlatego prosimy o powstrzymanie się od ich zgłaszania i dokonywania.
- Wszelkie fizyczne próby uzyskania dostępu do własności Cloudbet.
- Korzystanie z inżynierii społecznej (np. phishingu) w celu pozyskania poufnych informacji.
- Odmowa usługi (DoS/DDoS).
- Zagrożenia płynące z usług oferowanych przez osoby trzecie powiązane z Cloudbet.
- Mniejsze błędy techniczne związane z konfiguracją lub problemy na niepoufnych stronach.
- Wszelkie podobne działania wymienione, ale nie ograniczone, do powyższej listy.
Zgłaszanie problemu
Zgłaszając problem, należy:
- załączyć szczegółowe kroki pozwalające na odtworzenie symulacji zagrożenia.
- dołączyć dowód na istnienie zagrożenia, taki jak zrzut ekranu, nagranie lub zapis, w tym link URL użyty przy wykryciu zagrożenia. Dowód ten należy przesłać nam jako załącznik w wiadomości e-mail, unikając przy tym korzystania z ogólnodostępnych usług osób trzecich.
- przesłać swoje zgłoszenie na adres e-mail [email protected]. Na zgłoszenia dotyczące problemów na poziomie średnim i wysokim staramy się odpowiadać w ciągu siedmiu dni roboczych. Na zgłoszenia czysto informacyjne lub na poziomie niskim odpowiemy w ciągu 30 dni. Wszystkie zgłoszenia są dla nas ważne, aczkolwiek wiadomości o charakterze spamu będą usuwane. Aby upewnić się o słuszności swojego zgłoszenia, zalecamy skorzystać z naszych wytycznych dotyczących zgłaszania problemów. Dokonujemy wszelkich starań, aby na bieżąco publikować status każdego zgłoszenia, nawet jeśli natychmiastowe rozwiązanie problemu nie jest jeszcze znane. Prosimy również o zaniechanie kontaktu z nami w celu otrzymania aktualizacji dotyczącej problemu, który już przyjęto, ponieważ wcale nie usprawnia to rozwiązania problemu.
Program „Bezpieczna przystań”
W celu zachęty do badań nad bezpieczeństwem i zaniechania nieporozumień związanych z hakowaniem w dobrej wierze i złośliwymi atakami prosimy o przestrzeganie poniżej zawartych wytycznych.
- Zakaz wykorzystywania zagrożeń do modyfikowania, uszkadzania, zmieniania lub zdobywania dostępu do danych nienależących do zgłaszającego.
- Zakaz wykorzystywania zagrożeń do celów innych, niż demonstracja tegoż zagrożenia.
- Zakaz dokonywania ataków na nasze systemy w ramach Odmowy usługi (DoS/DDoS) na poziomie sieciowym.
- Zakaz wykorzystywania zagrożeń w celu atakowania naszych pracowników i klientów.
- Zakaz zgłaszania zagrożeń przy jednoczesnym stawianiu warunków, wymagań lub gróźb.
Przestrzegając tych wytycznych, obiecujemy, że:
- nie będziemy podejmować działań prawnych przeciwko zgłaszającym ani zgłaszać ich w związku z prowadzonymi przez nich w dobrej wierze badaniami nad bezpieczeństwem, w tym w związku z omijaniem środków technologicznych, których używamy do ochrony aplikacji objętych zakresem umowy, oraz że;
- opowiemy się po stronie zgłaszających, w przypadku gdy osoby trzecie podejmą działania prawne przeciwko zgłaszającym w związku z ich prowadzonymi w dobrej wierze badaniami.
Prosimy o kontakt w celu uzyskania wyjaśnienia sprawy przed rozpoczęciem eksperymentu, który według zgłaszającego może być niezgodny z prowadzeniem badań nad bezpieczeństwem w dobrej wierze, lub który nie jest opisany w naszej polityce.
Jednocześnie przypominamy, iż nie możemy zatwierdzić badań nad bezpieczeństwem dotyczących infrastruktury osób trzecich oraz że osoby trzecie nie są związane z niniejszym oświadczeniem w ramach programu „Bezpieczna przystań”.
Zgodność
- Zgłaszający jest obowiązany w każdym momencie działać w dobrej wierze oraz zgodnie z wszelkimi obowiązującymi przepisami prawa i regulacjami, nie wyłączając tych obowiązujących w jurysdykcji obszaru, na którym przeprowadzane są badania.
- Zgłaszający musi przestrzegać wszystkich odpowiednich wymogów licencyjnych, ubezpieczeniowych, dotyczących prywatności lub innych wymogów regulacyjnych i ponosi on wyłączną odpowiedzialność za wszelkie rekompensaty, licencje, opłaty regulacyjne lub składki, ubezpieczenie lub wszelkie inne powiązane koszty i obowiązki prawne wymagane od zgłaszającego, działającego jako badacz bezpieczeństwa otrzymujący nagrody w ramach naszego Programu wykrywania luk w bezpieczeństwie.
Zmiany w Programie wykrywania luk w bezpieczeństwie
- Cloudbet zastrzega sobie prawo do zmiany wszelkich lub wszystkich szczegółów związanych i obecnie zawartych w Programie wykrywania luk w bezpieczeństwie bez wcześniejszego powiadomienia. Wszelkie takie korekty lub zmiany będą obowiązywać natychmiastowo po ich wprowadzeniu.
- Zalecamy dokonywania regularnego przeglądu niniejszego dokumentu w celu sprawdzenia, czy nie wprowadzono zmian w Programie wykrywania luk w bezpieczeństwie, które mogą wpłynąć na prawa lub obowiązki zgłaszającego.
Dodatkowe zapiski
Udział w Programie wykrywania luk w bezpieczeństwie nie jest stworzony w celu zawarcia umów partnerskich, umów o wspólne przedsięwzięcie kapitałowe lub relacji biznesowych pomiędzy zgłaszającym, a serwisem Cloudbet.
W maksymalnym zakresie dozwolonym przez prawo portal Cloudbet nie będzie ponosić odpowiedzialności za jakiekolwiek bezpośrednie, celowe, przypadkowe, przykładowe, karne lub wtórne szkody (w tym utratę możliwości brania udziału w Programie wykrywania luk w bezpieczeństwie, utratę danych, działalności lub zysków) powstałe w wyniku lub w związku z udziałem zgłaszającego w Programie, bez względu na to czy ta odpowiedzialność wynika z jakichkolwiek roszczeń z związku z umową, gwarancją, czynem niedozwolonym (w tym zaniedbaniem) lub z odpowiedzialności na zasadzie ryzyka lub innego rodzaju oraz bez względu na to, czy firma Cloudbet została poinformowana o możliwości wystąpienia takiej straty lub szkody.