Security

#Welkom bij het Bug Bounty Programma van Shockbyte.

Ons bug bounty programma is een beloningsinititatief voor individuen of groepen die beveiligingslekken ontdekken en rapporteren in onze software, websites of digitale infrastructuur. Het doel van bug bounty programma's is om beveiligingsonderzoekers aan te moedigen — ook wel bekend als "white hat" of ethische hackers — om potentiële zwakke plekken te identificeren en te melden die door kwaadwillende hackers misbruikt zouden kunnen worden.

Het Bug Bounty Programma heeft momenteel betrekking op het volgende:

• https://shockbyte.com
• https://panel.shockbyte.com
• https://discord.shockbyte.com

#Hoe meld je een beveiligingsprobleem?

Stuur een e-mail naar security@shockbyte.com om een probleem te melden — we reageren zo snel mogelijk. Geef zoveel mogelijk details mee in je melding.

#Buiten scope

• Alle andere domeinen en subdomeinen vallen buiten het bereik van dit bug bounty programma.
• Problemen waar we al van op de hoogte zijn en/of die actief worden opgelost.

#Wat accepteren we niet

De volgende soorten meldingen worden niet geaccepteerd. Deze lijst is samengesteld op basis van bestaande bug bounty programma's.

• Clickjacking op pagina's zonder gevoelige acties
• Cross-Site Request Forgery (CSRF) op niet-geauthenticeerde formulieren of formulieren zonder gevoelige acties
• Aanvallen die een MITM-positie of fysieke toegang tot het apparaat van een gebruiker vereisen.
• Eerder bekende kwetsbare bibliotheken zonder werkend Proof of Concept.
• CSV-injectie (Comma Separated Values) zonder aantoonbare kwetsbaarheid.
• Ontbrekende best practices in SSL/TLS-configuratie.
• Content spoofing en tekstinjectie zonder aangetoonde aanvalsvector of zonder de mogelijkheid om HTML/CSS aan te passen
• Rate limiting- of bruteforce-problemen op niet-authenticatie-endpoints
• Ontbrekende best practices in het Content Security Policy.
• Ontbrekende HttpOnly- of Secure-vlaggen op cookies
• Ontbrekende best practices voor e-mail (ongeldige, onvolledige of ontbrekende SPF/DKIM/DMARC-records, etc.)
• Kwetsbaarheden die alleen gebruikers treffen van verouderde of niet-gepatchte browsers (meer dan 2 stabiele versies achter op de meest recent uitgebrachte stabiele versie)
• Openbaarmaking van softwareversies / Banner-identificatieproblemen / Beschrijvende foutmeldingen of headers (bijv. stack traces, applicatie- of serverfouten).
• Publieke zero-day kwetsbaarheden waarvoor minder dan 1 maand geleden een officiële patch is uitgebracht, worden per geval beoordeeld voor een beloning.
• Tabnabbing
• Open redirect — tenzij een aanvullende beveiligingsimpact aangetoond kan worden
• Problemen waarvoor onwaarschijnlijke gebruikersinteractie vereist is

#Regels, notities en voorschriften

Het beveiligingsteam bepaalt intern het ernstniveau, op basis van berekeningen via https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

• Je mag kwetsbaarheden niet delen met derden.
• Het misbruiken van gevonden kwetsbaarheden: dit leidt tot verlies van recht op vergoeding en kan resulteren in juridische stappen.
• Uitbetaling vindt plaats na triage, naar verwachting binnen 7 dagen.
• Uitbetaling kan via PayPal of bankoverschrijving (via Wise)
• Regels, notities en voorschriften kunnen op elk moment worden gewijzigd.

De volgende vergoeding is beschikbaar voor onderzoekers die via het programma met succes een kwetsbaarheid melden:

Meld kwetsbaarheden via security@shockbyte.com. We zijn je oprecht dankbaar voor je deelname en medewerking aan het veiliger maken van Shockbyte als platform.