Security

#Bienvenue dans le Programme Bug Bounty de Shockbyte.

Notre programme de bug bounty est une initiative de récompense destinée aux individus ou groupes qui découvrent et signalent des failles de sécurité dans nos logiciels, sites web ou infrastructures numériques. L'objectif des programmes de bug bounty est d'encourager les chercheurs en sécurité — souvent appelés hackers "white hat" ou hackers éthiques — à identifier et signaler les failles potentielles qui pourraient être exploitées par des acteurs malveillants.

Le périmètre du Programme Bug Bounty couvre actuellement :

• https://shockbyte.com
• https://panel.shockbyte.com
• https://discord.shockbyte.com

#Comment signaler une faille de sécurité ?

Pour signaler un problème, envoie un e-mail à security@shockbyte.com — nous te répondrons dans les meilleurs délais. Fournis autant de détails que possible dans ton rapport.

#Hors périmètre

• Tous les autres domaines et sous-domaines sont hors du périmètre de ce programme de bug bounty.
• Les problèmes dont nous avons déjà connaissance et/ou qui sont activement en cours de résolution.

#Ce que nous n'acceptons pas

Les types de rapports suivants ne seront pas acceptés. Cette liste s'inspire des programmes de bug bounty existants.

• Clickjacking sur des pages sans actions sensibles
• Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou sans actions sensibles
• Attaques nécessitant un accès MITM ou un accès physique à l'appareil d'un utilisateur.
• Bibliothèques vulnérables déjà connues sans Proof of Concept fonctionnel.
• Injection CSV (Comma Separated Values) sans démonstration d'une vulnérabilité exploitable.
• Bonnes pratiques manquantes dans la configuration SSL/TLS.
• Problèmes de spoofing de contenu et d'injection de texte sans démonstration d'un vecteur d'attaque ou sans possibilité de modifier le HTML/CSS
• Problèmes de rate limiting ou de bruteforce sur des endpoints non liés à l'authentification
• Bonnes pratiques manquantes dans la politique de sécurité du contenu (CSP).
• Flags HttpOnly ou Secure manquants sur les cookies
• Bonnes pratiques e-mail manquantes (enregistrements SPF/DKIM/DMARC invalides, incomplets ou absents, etc.)
• Vulnérabilités affectant uniquement les utilisateurs de navigateurs obsolètes ou non patchés (plus de 2 versions stables de retard par rapport à la dernière version stable publiée)
• Divulgation de version logicielle / Identification de bannières / Messages d'erreur ou en-têtes descriptifs (ex. : stack traces, erreurs applicatives ou serveur).
• Les vulnérabilités Zero-day publiques dont le patch officiel date de moins d'1 mois seront évaluées au cas par cas.
• Tabnabbing
• Redirection ouverte — sauf si un impact sécuritaire supplémentaire peut être démontré
• Problèmes nécessitant une interaction utilisateur improbable

#Règles, notes et réglementations

L'équipe sécurité détermine le niveau de sévérité en interne, sur la base de calculs effectués via https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

• Tu ne peux pas divulguer des vulnérabilités à des tiers.
• Exploiter les failles découvertes : entraîne la perte de toute éligibilité à une compensation et peut donner lieu à des poursuites judiciaires.
• Le paiement interviendra après le triage, sous 7 jours en règle générale.
• Le paiement peut s'effectuer via PayPal ou virement bancaire (via Wise)
• Les règles, notes et réglementations sont susceptibles d'être modifiées à tout moment.

La compensation suivante est disponible pour les chercheurs qui signalent avec succès une vulnérabilité via le programme :

Signale les vulnérabilités à security@shockbyte.com. Merci pour ta participation et ta coopération pour faire de Shockbyte une plateforme encore plus sécurisée.