Bug Bounty Programm
Hilf uns, Venice sicher zu halten. Wir belohnen Sicherheitsforscher, die verantwortungsvoll Schwachstellen in unseren Produkten melden.
So funktioniert das Programm
Unser Bug Bounty Programm bietet einen strukturierten Weg für Sicherheitsforscher, Schwachstellen zu melden und Belohnungen zu verdienen.
Entdecken
Finde eine Sicherheitslücke in einem Venice-Produkt innerhalb des Geltungsbereichs.
Dokumentieren
Erstelle einen detaillierten Bericht mit Proof of Concept und Reproduktionsschritten.
Melden
Reiche deine Erkenntnisse über unser sicheres Meldeformular ein.
Belohnung
Berechtigte Bounty-Belohnungen werden nach Ermessen von Venice in VVV und/oder USDC gezahlt.
Belohnungen
Berechtigte Bounty-Belohnungen werden nach Ermessen von Venice in VVV und/oder USDC gezahlt. Die unten stehenden Beträge sind in VVV angegeben; Venice kann den entsprechenden Betrag in USDC zahlen. Belohnungen richten sich nach nachgewiesener Auswirkung, Ausnutzbarkeit, Neuheit, Reproduzierbarkeit und Berichtsqualität.
Geringfügige, aber echte Sicherheitsprobleme mit klarer Reproduktion, etwa begrenzte Informationsoffenlegung oder risikoarme Konfigurationslücken mit nachgewiesener Auswirkung.
Eingegrenzte Schwachstellen mit nachgewiesener Auswirkung, etwa begrenztes gespeichertes XSS, enge Autorisierungslücken oder Missbrauchspfade, die wenige Benutzer betreffen.
Signifikante Schwachstellen, die Kontosicherheit, Autorisierungsgrenzen, Abrechnungsintegrität oder Benutzerdaten betreffen.
Schwere, neuartige Schwachstellen mit breiter Benutzerauswirkung, etwa Authentifizierungsumgehung, Remote Code Execution, Offenlegung sensibler Daten in großem Umfang oder Kompromittierung von VVV Smart Contracts.
Programmumfang
Bitte überprüfe, was von diesem Programm abgedeckt ist und was nicht, bevor du einreichst.
Im Umfang
- Venice Webanwendung (venice.ai)
- Venice API (api.venice.ai)
- Venice Android-App, iOS-App und offizielle APK
- Authentifizierung und Sitzungsverwaltung
- Zahlungs- und Abrechnungsabläufe
- Benutzerdatenverarbeitung und Datenschutzkontrollen
- Chat- und Konversationsverschlüsselung
Außerhalb des Umfangs
- Social Engineering oder Phishing-Angriffe
- Denial-of-Service (DoS/DDoS) Angriffe
- Drittanbieter- oder anbieterverwaltete Probleme, sofern sie nicht durch Venice-Integration oder -Konfiguration verursacht werden
- Probleme die physischen Zugang erfordern
- Automatisiertes Scannen ohne Validierung
- Spam-, Missbrauchs- oder Reputationsberichte ohne Sicherheitslücke
- Berichte zu Sicherheitsheadern, DNS, SPF, DMARC, CAA oder Versionsoffenlegung ohne nachgewiesene Ausnutzbarkeit oder Benutzerauswirkung
- Theoretische Rate-Limiting- oder Brute-Force-Berichte ohne nachgewiesene Auswirkung
Berichtsanforderungen
Alle Berichte müssen einen klaren Proof of Concept, genaue Reproduktionsschritte und eine Beschreibung der Sicherheitsauswirkung enthalten.
Proof of Concept
Demonstriere die tatsächliche Ausnutzung mit Video, Screenshots oder genauen Reproduktionsschritten. Ausnahmen gelten für offensichtliche Probleme wie Zertifikatsprobleme.
Spezifisch für unsere Umgebung
Zeige, dass die Schwachstelle in unserer tatsächlichen Anwendung existiert, nicht in theoretischen Szenarien. Generische Scanner-Ausgaben ohne Validierung sind nicht belohnungsberechtigt.
Basierend auf deinen Tests
KI-unterstützte Berichte sind nur akzeptabel, wenn sie persönlich validiert und reproduzierbar sind. Unverifizierte KI-generierte Berichte werden abgelehnt.
Häufig gestellte Fragen
Hilf Venice sicher zu halten
Eine Schwachstelle gefunden? Reiche deinen Bericht ein und hilf uns, unsere Benutzer zu schützen. Berechtigte Bounty-Belohnungen werden nach Ermessen von Venice in VVV und/oder USDC gezahlt.