Sicherheit

#Willkommen beim Bug-Bounty-Programm von Shockbyte.

Unser Bug-Bounty-Programm ist eine vergütungsbasierte Initiative für Einzelpersonen oder Gruppen, die Sicherheitslücken in unserer Software, unseren Websites oder unserer digitalen Infrastruktur entdecken und melden. Das Ziel von Bug-Bounty-Programmen ist es, Sicherheitsforschende – oft bekannt als "White Hat"- oder ethische Hacker – dazu zu motivieren, potenzielle Schwachstellen aufzudecken und zu melden, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Der Geltungsbereich des Bug-Bounty-Programms umfasst aktuell:

• https://shockbyte.com
• https://panel.shockbyte.com
• https://discord.shockbyte.com

#Wie meldet man ein Sicherheitsproblem?

Um ein Problem zu melden, schick eine E-Mail an security@shockbyte.com – wir melden uns zeitnah bei dir. Bitte gib so viele Details wie möglich an.

#Nicht im Geltungsbereich

• Alle anderen Domains und Subdomains liegen außerhalb des Geltungsbereichs dieses Bug-Bounty-Programms.
• Probleme, die uns bereits bekannt sind und/oder aktiv behoben werden.

#Was wir nicht akzeptieren

Die folgenden Arten von Meldungen werden von uns nicht akzeptiert. Diese Liste basiert auf bestehenden Bug-Bounty-Programmen.

• Clickjacking auf Seiten ohne sicherheitsrelevante Aktionen
• Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sicherheitsrelevante Aktionen
• Angriffe, die einen MITM-Angriff oder physischen Zugriff auf das Gerät eines Nutzers erfordern.
• Bekannte verwundbare Bibliotheken ohne funktionierenden Proof of Concept.
• CSV-Injection (Comma Separated Values) ohne Nachweis einer tatsächlichen Schwachstelle.
• Fehlende Best Practices in der SSL/TLS-Konfiguration.
• Content-Spoofing und Text-Injection-Probleme ohne Nachweis eines Angriffsvektors bzw. ohne die Möglichkeit, HTML/CSS zu verändern
• Rate-Limiting- oder Brute-Force-Probleme an Endpunkten ohne Authentifizierung
• Fehlende Best Practices in der Content Security Policy.
• Fehlende HttpOnly- oder Secure-Flags bei Cookies
• Fehlende E-Mail-Best-Practices (ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge usw.)
• Schwachstellen, die ausschließlich Nutzer veralteter oder ungepatchter Browser betreffen (mehr als 2 stabile Versionen hinter der aktuellen stabilen Version)
• Offenlegung von Softwareversionen / Banner-Identifikation / Beschreibende Fehlermeldungen oder Header (z. B. Stack Traces, Anwendungs- oder Serverfehler).
• Öffentlich bekannte Zero-Day-Schwachstellen, für die ein offizieller Patch weniger als 1 Monat verfügbar ist, werden von Fall zu Fall bewertet.
• Tabnabbing
• Open Redirect – sofern keine zusätzliche Sicherheitsauswirkung nachgewiesen werden kann
• Probleme, die eine unwahrscheinliche Nutzerinteraktion erfordern

#Regeln, Hinweise und Bestimmungen

Der Schweregrad wird intern vom Sicherheitsteam festgelegt – auf Basis von Berechnungen mithilfe von https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

• Du darfst Schwachstellen nicht an Dritte weitergeben.
• Der Missbrauch gefundener Schwachstellen führt zum Verlust des Anspruchs auf eine Vergütung und kann rechtliche Konsequenzen nach sich ziehen.
• Die Auszahlung erfolgt nach dem Triage-Prozess – in der Regel innerhalb von 7 Tagen.
• Die Auszahlung erfolgt per PayPal oder Banküberweisung (via Wise)
• Regeln, Hinweise und Bestimmungen können jederzeit geändert werden.

Die folgende Vergütung steht für Meldende bereit, die erfolgreich eine Schwachstelle über das Programm melden:

Schwachstellen melden an security@shockbyte.com. Wir sind dankbar für deine Teilnahme und Mitarbeit dabei, Shockbyte zu einer noch sichereren Plattform zu machen.