Responsible disclosure

Bug bounty dla osób zgłaszających podatności

Jeśli znalazłeś błąd bezpieczeństwa w naszych usługach, zgłoś go nam prywatnie. Konkretne, możliwe do odtworzenia raporty traktujemy priorytetowo i możemy wynagrodzić je zależnie od realnego wpływu.

Zgłoś podatnośćDiscord

Co nas interesuje

  • podatności w sklepie, checkoutcie, płatnościach i panelu gracza
  • błędy autoryzacji, obejścia uprawnień i wycieki danych
  • XSS, CSRF, SSRF, SQL injection, RCE oraz podobne realne ryzyka
  • błędy logiki pozwalające ominąć cenę, koszyk lub realizację zamówienia

Zasady bezpiecznego testu

  • nie wykonuj destrukcyjnych testów ani działań wpływających na graczy
  • nie pobieraj, nie publikuj i nie modyfikuj cudzych danych
  • nie używaj masowego skanowania, floodu, DDoS ani prób przeciążania usług
  • zatrzymaj test po potwierdzeniu podatności i wyślij nam szczegóły do weryfikacji

Jak wysłać dobry raport?

Napisz, gdzie występuje problem, jakie kroki prowadzą do błędu, jaki jest możliwy wpływ oraz dołącz minimalny dowód koncepcji. Nie potrzebujemy agresywnych testów - wystarczy materiał pozwalający nam bezpiecznie odtworzyć problem.

Nie ścigamy osób, które działają w dobrej wierze, trzymają się tych zasad i dają nam rozsądny czas na naprawę przed publikacją szczegółów.