Bug-Bounty-Programm
Einführung
G-Core Labs S.A., 2-4, rue Edmond Reuter, L-5326 Contern, Luxemburg ("Gcore", "wir", "uns") freut sich über Feedback von Sicherheitsforschern und der Öffentlichkeit ("Reporter", "Sie"), um unsere Sicherheit zu verbessern. Wenn Sie glauben, dass Sie eine Schwachstelle, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Vermögenswerte entdeckt haben, möchten wir über unser Bug-Bounty-Programm ("Gcore Bug Bounty-Programm") gemäß dieser Offenlegungsrichtlinie von Ihnen hören. Diese Offenlegungsrichtlinie zur Schwachstellenbehebung beschreibt Schritte zum Melden von Schwachstellen, was wir erwarten, und was Sie von uns erwarten können.
Systeme im Scope
Diese Richtlinie gilt für alle digitalen Vermögenswerte, die von Gcore besessen, betrieben oder gewartet werden, einschließlich, aber nicht beschränkt auf:
• *.gcore.com
• *.gcorelabs.com
• *.gcore.lu
• *.gcore.top
• https://github.com/g-core
Nicht im Scope
Bitte beachten Sie, dass Domains, Vermögenswerte oder andere Ausrüstungen, die uns nicht gehören, außerhalb des Gcore Bug Bounty Programms und dieser Richtlinie liegen. Gcore kann und darf keine Sicherheitsforschung an Dritten autorisieren. Schwachstellen, die in außerhalb des Scopesystemen entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der entsprechenden Behörde gemeldet werden. Bitte finden Sie unten Beispiele dafür, was als Vermögenswerte betrachtet wird, die uns nicht gehören und daher nicht im Scope des Programms liegen:
• hosting.gcore.com
• kvm.gcore.com
• dci.gcore.com
• support.gcore.com (Zendesk-Portal).
• *.gcdn.co
• roadmap.gcore.com
• https://meet.gcore.com (und andere benutzerdefinierte Domains, auf denen dieselbe "Interactive Video"-Demoanwendung läuft)
Alles, was nicht als Ziel oder im Scope oben genannt ist, sollte für die Zwecke dieser Richtlinie als nicht im Scope betrachtet werden. Jedoch sind folgende Fälle nicht im Rahmen dieses Richtlinienplans und nicht für das Gcore Bug Bounty Program berechtigt:
• Mögliche Schwachstellen, die keinen Proof-of-Concept-Code oder einen nachgewiesenen Exploit enthalten
• Drittanbieter-Websites, -Systeme, -Plattformen oder -Bibliotheken mit neuen oder veröffentlichten Schwachstellen
• DoS/DDoS oder jegliche Dienstunterbrechungen
• Physische Angriffe, Social-Engineering-Angriffe und Phishing-Angriffe jeder Art
• Einfache, nicht-XSS Content-Injection
• Beschreibende Fehlermeldungen, die die Softwareversion oder eine "Information Disclosure" offenlegen
• Rechtschreibfehler, UI- und UX-Fehler
Wir behalten uns vor, alles was zur Erkennung eines Bugs mit signifikanten Einfluss auf unsere gesamte Sicherheitsstruktur hat, zu belohnen. Daher empfehlen wir Ihnen, solche Bugs über das Gcore Bug Bounty Program zu melden.
