Unsere Belohnungen richten sich nach dem Schweregrad der Sicherheitslücke. Zur Bewertung des Schweregrads verwenden wir das CVSS 3.1 (Common Vulnerability Scoring System).
Für besondere, schwer zu findende Bugs oder umfangreiche Meldungen zahlen wir mitunter eine höhere Vergütung. Für Bugs, bei denen komplexe Voraussetzungen erfüllt sein müssen und daher das Exploitation-Risiko niedrig ist, fällt die Vergütung mitunter geringer aus.
Beachte, dass Xsolla im eigenen Ermessen über die Belohnung entscheidet. Aufgrund von kompensierenden Sicherheitsmaßnahmen und dem Kontext kann Xsolla das Problem als weniger schwerwiegend einschätzen
Die in der Tabelle angegebenen Beträge sind HÖCHSTBETRÄGE für jeden Schweregrad, wobei Xsolla nach eigenem Ermessen Bonuszahlungen gewähren kann.
| SCHWEREGRAD | BETRAG (USD) |
|---|---|
| Kritisch | $1,000 - $2,000 |
| Hoch | $800 |
| Mittel | $500 |
| Gering | $100 |
Werden Bugs mehrmals gemeldet, prämieren wir die erste Meldung, die wir vollständig reproduzieren können.
Lassen sich mehrere gemeldete Schwachstellen auf ein einziges zugrunde liegendes Problem zurückführen, wird nur eine einzige Prämie ausgezahlt – und zwar an die Person, die das Problem zuerst gemeldet hat. In einigen Fällen kann es jedoch länger dauern, den Schwachstellen-Schweregrad zu bestimmen, weshalb die Prämie möglicherweise zu einem späteren Zeitpunkt ausgezahlt wird
Im Rahmen der Bug-Analyse darfst du nur deine eigenen Konten verwenden. Die Interaktion mit anderen Konten sowie Aktionen, die anderen Nutzern schaden oder deren Privatsphäre verletzen könnten, sind verboten.
Alle Regeln sind einzuhalten, damit die Belohnung ausgezahlt werden kann.
Mit der Übermittlung einer Bug-Meldung erklärst du dich mit den Richtlinien des Bounty Program von Xsolla einverstanden. Diese untersagen die öffentliche oder nicht öffentliche Offenlegung von Schwachstellen oder Bugs im Zusammenhang mit Xsolla.
Mit der Teilnahme an diesem Programm erklärst du dich mit den oben genannten Regeln und Bedingungen einverstanden. Alle Regeln sind einzuhalten, damit die Belohnung ausgezahlt werden kann.
Im Hinblick auf die Sicherheit der übermittelten Berichte akzeptieren wir KEINE über externe Links (wie YouTube, Google Drive oder Streamlabs) bereitgestellten Proof-of-Concept-Materialien mehr. Dies kann ab sofort einen Verstoß gegen die Programmregeln darstellen.
Laden Sie Videos, Screenshots und Bilder direkt über das Formular hoch. Derzeit dürfen POC-Dateien maximal 25 MB groß sein und eine Wiedergabedauer von 7 Minuten nicht überschreiten Sie können hierzu die Dateien gerne nach Bedarf kürzen oder komprimieren.