Программа багбаунти Cloudbet

Введение

Сайт www.cloudbet.com принадлежит компании Halcyon Super Holdings B.V. и управляется ею (далее "Cloudbet", "мы", "наш"). Cloudbet — ведущая криптовалютная развлекательная онлайн-платформа, приверженная высочайшим стандартам честности и безопасности в индустрии азартных игр. Чтобы обеспечивать высокий уровень конфиденциальности и безопасности, мы запустили программу поиска уязвимостей за вознаграждение (также "программа багбаунти"). Она позволяет привлечь независимых исследователей безопасности и сделать платформу еще более надежной.

Вознаграждения и приоритизация

  • Вознаграждения выплачиваются в Tether (USDT), и их размер зависит от характера и серьезности найденной уязвимости.
  • Мы определяем размер вознаграждения по своему усмотрению, без строгого минимального и максимального лимита. За критические уязвимости можно получить 10 000 долл. США или больше.
  • Чтобы получить вознаграждение, вы должны первыми сообщить о ранее неизвестной уязвимости, требующей изменения кода или настройки.

Уровни уязвимостей

  • Вознаграждение зависит от серьезности найденной уязвимости, которая определяется нашей командой безопасности.
  • Уровни уязвимостей по мере возрастания приоритетности и размера вознаграждения: низкий, средний, высокий и критический.
  • Уязвимости низкого уровня включают малозначимые проблемы, такие как технические ошибки, а критические уязвимости включают ошибки в смарт-контрактах и утечки закрытых ключей кошельков, то есть баги, которые могут привести к сбоям в работе или финансовым потерям.

Область действия программы

Объем программы

  • Сайт cloudbet.com и связанные сервисы
  • API-ключи Cloudbet, блокчейны и инфраструктура
  • Смарт-контракты, относящиеся к Cloudbet

Вне объема программы

Следующие уязвимости и действия исключены из программы багбаунти и не будут учитываться:

  • Попытки физического доступа к объектам Cloudbet
  • Социальная инженерия (например, фишинговые атаки) для получения конфиденциальных данных
  • Атаки типа "отказ в обслуживании" (DoS/DDoS)
  • Уязвимости в сторонних сервисах, связанных с Cloudbet
  • Незначительные технические ошибки или неправильные настройки на второстепенных страницах
  • Любые действия схожего характера, не упомянутые в этом списке

Отправка отчета

В отчет нужно включить следующее:

  • Подробное описание шагов для воспроизведения уязвимости.
  • Доказательства наличия уязвимости, например скриншот, видео или скрипт, включая URL-адреса, использованные для обнаружения уязвимости. Отправьте эти материалы по электронной почте в виде приложения к письму, а не через общедоступные сторонние сервисы.
  • Отправьте отчет на адрес security@cloudbet.com. На отчеты со средней и высокой критичностью мы обычно отвечаем в течение 7 дней, а на отчеты с низкой критичностью — в течение 30 дней. Мы рассматриваем все отчеты, но удаляем спам. Ознакомиться с допустимыми уязвимостями можно в разделе "Область действия программы" выше. Мы стараемся держать вас в курсе статуса отчета, даже если немедленное решение проблемы невозможно. Не отправляйте нам запросы об уязвимостях, принятых на рассмотрение, поскольку это не сможет ускорить процесс проверки.

Безопасная гавань

Чтобы поощрить исследования в области безопасности и избежать путаницы между этичным хакерством и злонамеренными атаками, просим соблюдать эти правила:

  • Не используйте уязвимости для доступа к данным, их изменения, нанесения вреда или иной злонамеренной деятельности
  • Исследуйте уязвимости только в рамках программы багбаунти
  • Не осуществляйте атаки типа "отказ в обслуживании" (DoS/DDoS) на наши системы
  • Не используйте наших сотрудников и клиентов для выявления уязвимостей
  • Не предъявляйте условий, требований и угроз, чтобы получить вознаграждение

Если вы следуете этим правилам, мы обещаем:

  • Не подавать судебные иски и не сообщать о вас за добросовестные исследования в области безопасности, в том числе за обход технических средств для защиты приложений
  • Отстаивать вашу невиновность, если третья сторона подаст на вас в суд из-за ваших действий в рамках исследований в области безопасности

Если у вас есть основания полагать, что ваши действия нарушают условия добросовестного исследования в области безопасности или наши правила, свяжитесь с нами.

Имейте в виду, что мы не разрешаем поиск уязвимостей в инфраструктуре третьих сторон и что это положение о безопасной гавани не касается ваших действий в отношении третьих сторон.

Комплаенс

  • Вы обязаны действовать добросовестно и соблюдать все применимые законы и правила, включая местное законодательство, в котором вы проводите исследования в области безопасности.
  • Вы обязаны соблюдать лицензионные, страховые и другие нормативные требования, и как исследователь безопасности вы несете полную ответственность за все расходы, сборы и правовые обязанности в рамках программы багбаунти.

Изменения в программе багбаунти

  • Cloudbet оставляет за собой право изменять условия программы в любое время и без предварительного уведомления. Такие изменения и дополнения вступают в силу незамедлительно.
  • Вы обязаны регулярно просматривать условия программы, чтобы быть в курсе изменений, которые могут повлиять на ваши права и обязанности.

Дополнительные примечания

  • Участие в программе багбаунти не должно рассматриваться или истолковываться как создание партнерства, совместного предприятия или агентских отношений между вами и Cloudbet.

  • В максимальной степени, разрешенной законом, Cloudbet не несет ответственности за прямые, косвенные, специальные, случайные и штрафные убытки (включая невозможность использования, потерю данных, коммерческие убытки или потерю прибыли), возникшие в связи с участием в программе багбаунти, независимо от того, возникает ли такая ответственность на основании договора, гарантии или правонарушения (включая халатность), и независимо от того, была ли компания Cloudbet предупреждена о возможности таких потерь или убытков.