Kaufe und halte Bitcoin mit Vertrauen
Entdecke unser Unternehmen
Allgemein
Hilfe
Kaufe und halte Bitcoin mit Vertrauen
Erfahre Mehr
Über unsUnsere PartnerKarriereBasicsRechtliches
Bleibe in Kontakt
Flag Austria
Deutsch
Change Language / Sprache ändern
Flag UK
English
Change Language / Sprache ändern
Jetzt loslegen

Bug Bounty Programm

Wir nehmen die Privatsphäre und Sicherheit unserer Kunden ernst und sind immer daran interessiert, Sicherheitslücken zu finden, damit wir diese beheben können. Wenn du einen Fehler findest, bitten wir dich, uns deine Erkenntnisse mitzuteilen. Dies kann im Rahmen eines Bug-Bounty-Programms belohnt werden.

Dein Beitrag schützt nicht nur unsere Nutzer, sondern macht dich auch zu einem wichtigen Partner bei der kontinuierlichen Verbesserung unserer Sicherheitsstandards.

Bevor du mögliche Ergebnisse einreichst, lies bitte die folgenden Richtlinien sorgfältig durch.

Richtlinien

1. Qualifizierte Beiträge

Wir denken über Prämien für Meldungen nach, die alle folgenden Kriterien erfüllen:

  • Enthalten einen Proof of Concept, der zeigt, wie das Problem ausgenutzt werden kann.
  • Haben direkte Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten.
  • Fallen unter unsere in Abschnitt 2 definierten Vermögenswerte.

2. Umfang & Testregeln

Umfang

  • Das Testen beschränkt sich auf die von 21bitcoin betriebenen Dienste, einschließlich der mobilen Anwendung und der Websites. Wir empfehlen insbesondere, unsere mobile App zu testen, da es sich dabei um unser Kernprodukt handelt.
  • Benutze zum Testen nur Accounts, die dir persönlich gehören.
  • Andere Nutzer dürfen durch deine Tests nicht beeinträchtigt oder geschädigt werden.

Verbotene Testmethoden

Die folgenden Methoden sind nicht erlaubt (diese Liste ist nicht vollständig):

  • Brute-Force-Angriffe
  • Clickjacking oder UI-Redressing
  • Phishing- oder Social-Engineering-Angriffe
  • Denial-of-Service (DoS) oder Ressourcenerschöpfung
  • Automatisierte Schwachstellenscans ohne ausdrückliche Genehmigung
  • Physisches Eindringen oder Manipulation der Infrastruktur

Wenn dein Bericht in eine dieser Kategorien fällt, kommt er wahrscheinlich nicht für eine Belohnung infrage.

3. Nicht prämienberechtigte Meldungen

Wir geben keine Prämien für Meldungen, die Folgendes beinhalten:

  • Allgemeines Feedback zu bewährten Verfahren, wie fehlende Sicherheitsheader oder veraltete Bibliotheken.
  • Alle Probleme, die in Googles Liste der nicht prämienberechtigten Meldungen aufgeführt sind.
  • Schwachstellen, die nur mit automatisierten Tools und ohne manuelle Überprüfung entdeckt wurden.

4. Verantwortungsvolle Offenlegung und Branchenstandards

Um einen reibungslosen und effektiven Offenlegungsprozess zu gewährleisten, halte dich bitte an die folgenden bewährten Verfahren und Branchenstandards:

4.1 Safe Harbor

  • Wir geben dir die Erlaubnis, die betreffenden Assets in gutem Glauben zu testen. Es werden keine rechtlichen Schritte gegen dich eingeleitet, wenn du legitime Sicherheitslücken gemäß diesen Regeln untersuchst.

4.2 Meldepflichten

  • Gib klare, reproduzierbare Schritte an und füge alle verwendeten Skripte oder Payloads bei. Das sollte entweder als Bildschirmaufnahme (.mp4) oder in der Beschreibung der Schwachstelle festgehalten werden.
  • Gib eine Schweregradbewertung an (z. B. Common Vulnerability Scoring System v3 – CVSSv3), damit wir deine Meldung besser priorisieren können.
  • Gib die Umgebung an (Produktion, Staging, mobile App, API-Endpunkte), in der das Problem beobachtet wurde.

4.3 Zeitplan für die Offenlegung

  • Wir bemühen uns, deine Meldung innerhalb von 72 Stunden zu bestätigen und kritische Probleme innerhalb von 30 Tagen nach der Überprüfung zu beheben oder zu korrigieren.
  • Bitte rechne mit bis zu 60 Tagen bis zur öffentlichen Bekanntgabe oder, falls komplexe Korrekturen erforderlich sind, mit einer längeren Frist.

4.4 Kommunikation und Nachverfolgung

  • Nutze unseren speziellen Offenlegungskanal, indem du das unten stehende Formular ausfüllst.
  • Gib uns sofort unter security@fior.digital Bescheid, wenn du weitere Infos oder Hinweise hast.

4.5 Datenschutz

  • Gib keine echten Benutzerdaten weiter. Wenn du aus Versehen auf sensible Infos stößt, hör mit dem Testen auf und melde das sofort.
  • Alle personenbezogenen Daten müssen vertraulich behandelt und nach der Überprüfung aus deinen Unterlagen gelöscht werden.

Wichtig: Jegliche Maßnahmen, die 21bitcoin oder seine Nutzer einschränken oder schädigen, sind nicht zulässig.

So meldest du einen Bug

Fülle das Formular unten aus, um einen Fehler zu melden: