Chương trình Bug Bounty Cloudbet

Giới thiệu

www.cloudbet.com thuộc sở hữu và được vận hành bởi Halcyon Super Holdings BV (sau đây gọi là “Cloudbet”, “chúng tôi” hoặc “của chúng tôi”). Cloudbet là nền tảng giải trí tiền điện tử trực tuyến hàng đầu, cam kết duy trì các tiêu chuẩn cao nhất về tính toàn vẹn và an toàn cho trải nghiệm trò chơi của chúng tôi. Là một phần trong cam kết của chúng tôi về bảo mật và quyền riêng tư, chúng tôi đang triển khai Chương trình Bug Bounty (Tìm lỗi Nhận thưởng) để khuyến khích các nhà nghiên cứu và những người đam mê bảo mật xác định và báo cáo các lỗ hổng trong nền tảng của chúng tôi.

Phần thưởng và Ưu tiên

  • Các phần thưởng tìm lỗi sẽ được thanh toán bằng USDT, và tất cả các báo cáo sẽ được phân loại dựa trên mức độ ưu tiên.
  • Phần thưởng sẽ được trao theo quyết định của chúng tôi, không có mức tối thiểu hay tối đa cụ thể. Tuy nhiên, chúng tôi dự kiến sẽ trả số tiền lớn (10.000 USD hoặc hơn) cho những vấn đề nghiêm trọng.
  • Để đủ điều kiện nhận phần thưởng, bạn phải là người đầu tiên thông báo cho chúng tôi về một vấn đề chưa được biết đến trước đó dẫn đến việc thay đổi mã hoặc cấu hình.

Cấp độ Lỗ hổng

  • Phần thưởng cho các lỗ hổng đủ điều kiện sẽ thay đổi tùy thuộc vào ảnh hưởng và mức độ nghiêm trọng của các lỗi được báo cáo, theo đánh giá của đội ngũ bảo mật của chúng tôi.
  • Các cấp độ lỗ hổng theo thứ tự ưu tiên và phần thưởng tăng dần là: Thông Tin, Thấp, Trung Bình, Cao và Nghiêm Trọng.
  • Các cấp độ thấp hơn liên quan đến các vấn đề có ảnh hưởng nhỏ như cấu hình kỹ thuật không chính xác, trong khi các cấp độ cao hơn bao gồm các vấn đề nghiêm trọng như lỗi hợp đồng thông minh, rò rỉ khóa riêng tư của ví, v.v., có thể gây ra sự gián đoạn nghiêm trọng đối với hoạt động kinh doanh hoặc tổn thất tài chính.

Phạm vi

Trong phạm vi

  • Trang web Cloudbet.com và các dịch vụ liên quan.
  • Các lỗ hổng trong API của Cloudbet, blockchain và cơ sở hạ tầng.
  • Các lỗ hổng trong hợp đồng thông minh liên quan đến Cloudbet.

Ngoài phạm vi

Các phát hiện sau đây được loại trừ cụ thể khỏi Chương trình Bug Bounty và chúng tôi yêu cầu bạn không cố gắng báo cáo hoặc thực hiện các hành động này:

  • Bất kỳ nỗ lực vật lý nào để truy cập vào tài sản của Cloudbet.
  • Sử dụng tấn công phi kỹ thuật (ví dụ: phishing) để thu thập thông tin riêng tư.
  • Tấn công từ chối dịch vụ (DoS/DDoS).
  • Các lỗ hổng trong dịch vụ bên thứ ba liên kết với Cloudbet.
  • Các cấu hình kỹ thuật nhỏ hoặc vấn đề trên các trang không nhạy cảm.
  • Bất kỳ hành động nào tương tự như các trường hợp đã nêu, danh sách không đầy đủ.

Gửi Báo cáo

Trong báo cáo của bạn, vui lòng bao gồm:

  • Các bước chi tiết để tái hiện lỗ hổng.
  • Bằng chứng có thể xác minh rằng lỗ hổng tồn tại, chẳng hạn như ảnh chụp màn hình, video hoặc kịch bản, bao gồm các URL đã sử dụng để phát hiện lỗ hổng. Vui lòng gửi bằng chứng này dưới dạng tệp đính kèm qua email, không qua các dịch vụ bên thứ ba có thể truy cập công khai.
  • Vui lòng gửi báo cáo của bạn đến địa chỉ [email protected]. Chúng tôi sẽ phản hồi các báo cáo có mức độ ưu tiên trung bình và cao trong vòng 7 ngày làm việc. Đối với các báo cáo có mức độ ưu tiên thấp hoặc chỉ mang tính chất thông tin, chúng tôi sẽ phản hồi trong vòng 30 ngày. Tất cả các báo cáo đều được ghi nhận, nhưng các báo cáo spam sẽ bị loại bỏ. Vui lòng tham khảo hướng dẫn báo cáo của chúng tôi để biết thêm thông tin về các báo cáo hợp lệ. Chúng tôi nỗ lực cập nhật tiến độ của tất cả các báo cáo, ngay cả khi không có giải pháp ngay lập tức. Vui lòng không gửi email yêu cầu cập nhật về các báo cáo lỗi đã được xác nhận, vì điều này không làm tăng tốc quá trình giải quyết.

Cơ chế An toàn

Để khuyến khích nghiên cứu bảo mật và tránh nhầm lẫn giữa việc hack thiện chí và các cuộc tấn công độc hại, chúng tôi yêu cầu bạn tuân thủ các hướng dẫn sau:

  • Không sử dụng các lỗ hổng để truy cập, sửa đổi, gây hại hoặc thay đổi dữ liệu không thuộc về bạn.
  • Không khai thác các lỗ hổng ngoại trừ mục đích minh chứng lỗ hổng cho chúng tôi.
  • Không thực hiện các cuộc tấn công từ chối dịch vụ (DoS/DDoS) ở cấp độ mạng đối với hệ thống của chúng tôi
  • Không nhắm mục tiêu vào nhân viên và khách hàng của chúng tôi.
  • Không báo cáo các lỗ hổng với bất kỳ điều kiện, yêu cầu hay đe dọa tống tiền nào.

Nếu bạn tuân thủ các hướng dẫn này, chúng tôi cam kết rằng chúng tôi:

  • Sẽ không khởi kiện bạn hoặc báo cáo bạn về việc nghiên cứu bảo mật thiện chí, bao gồm việc vượt qua các biện pháp công nghệ mà chúng tôi sử dụng để bảo vệ các ứng dụng trong phạm vi; và
  • Sẽ bảo vệ bạn nếu một bên thứ ba khởi kiện bạn liên quan đến nghiên cứu bảo mật thiện chí của bạn.

Bạn nên liên hệ với chúng tôi để làm rõ trước khi thực hiện các hành động mà bạn nghĩ có thể không nhất quán với nghiên cứu bảo mật thiện chí hoặc không được chính sách của chúng tôi đề cập.

Lưu ý rằng chúng tôi không thể cấp phép nghiên cứu bảo mật trên cơ sở hạ tầng của bên thứ ba, và bên thứ ba không bị ràng buộc bởi tuyên bố cơ chế an toàn này.

Tuân thủ

  • Bạn phải luôn hành động một cách thiện chí và tuân thủ tất cả các luật lệ và quy định hiện hành, bao gồm cả các quy định tại địa phương nơi nghiên cứu bảo mật được thực hiện.
  • Bạn phải tuân thủ tất cả các yêu cầu về giấy phép, bảo hiểm, quyền riêng tư hoặc các yêu cầu khác theo quy định có liên quan, và bạn hoàn toàn chịu trách nhiệm về tất cả các khoản bồi thường, giấy phép, phí pháp lý hoặc các khoản chi phí và nghĩa vụ pháp lý khác liên quan mà bạn phải thực hiện với tư cách là nhà nghiên cứu bảo mật nhận phần thưởng trong Chương trình Bug Bounty của chúng tôi.

Thay đổi Chương trình Bug Bounty của Cloudbet

  • Cloudbet bảo lưu quyền thay đổi bất kỳ và tất cả các chi tiết của Chương trình Bug Bounty mà bạn thấy trong tài liệu này vào bất kỳ thời điểm nào mà không cần thông báo trước. Các sửa đổi và bổ sung này sẽ có hiệu lực ngay lập tức.
  • Bạn có trách nhiệm xem xét tài liệu này định kỳ để cập nhật bất kỳ sự thay đổi nào đối với Chương trình Bug Bounty có thể ảnh hưởng đến quyền lợi hoặc nghĩa vụ của bạn.

Điều khoản khác

  • Sự tham gia của bạn vào Chương trình Bug Bounty không được coi là hoặc hiểu là tạo ra bất kỳ mối quan hệ đối tác, liên doanh hoặc đại lý nào giữa bạn và Cloudbet.

  • Trong phạm vi tối đa được pháp luật cho phép, Cloudbet sẽ không chịu trách nhiệm đối với bất kỳ thiệt hại trực tiếp, đặc biệt, ngẫu nhiên, cảnh cáo, trừng phạt hoặc hậu quả nào (bao gồm mất mát về sử dụng, dữ liệu, kinh doanh hoặc lợi nhuận) phát sinh từ hoặc liên quan đến sự tham gia của bạn vào Chương trình Bug Bounty, dù trách nhiệm đó phát sinh từ bất kỳ yêu cầu nào dựa trên hợp đồng, bảo hành, sai lầm cá nhân (bao gồm cả sơ suất), trách nhiệm tuyệt đối hoặc theo cách khác, và dù Cloudbet đã được thông báo về khả năng xảy ra tổn thất hoặc thiệt hại đó hay không.