当社の設立以来、バグハンターやホワイトハットハッカーの皆様には、多大なご協力を賜り、深く感謝しております。そして、当社では、バグ報告にご協力いただいた方々に報酬をお支払いさせていただいており、中には、高額の報酬をお受け取りになられている方もいらっしゃいます。
もし、バグ、脆弱性、または悪用可能なセキュリティホール等を発見された際には、ぜひsupport@bitsler.comまでご連絡いただきますようお願い申し上げます。(特に重大なバグに関する内容や、迅速な回答が求められる場合にはライブサポートまでにご連絡いただきますようお願い申し上げます。)
バグをご報告される際には、可能な限り多くの詳細をご共用いただくようお願い申し上げます。より多くの情報をいただくことにより、問題をより深く理解するための手助けとなります。(スクリーンショットや動画も非常に役立つ情報となりますので何卒こちらの詳細も加えてお報告いただきますようお願い申し上げます。)
重要なバグ報告にご協力いただいた方に感謝の意を込めて報酬をお支払いさせていただきます。
報告内容に基づき、当社のチームが調査を実施いたします。(その過程で追加情報をお願いする場合もございます。)調査後、脆弱性やバグの深刻度を評価し、チームが報酬の金額を決定させていただきます。
当社は、ビットスラーの改善とセキュリティ強化につながる報告に対して、その感謝を申し上げると共に報酬をお支払いしておりますが、中には報酬の対象外となる問題もございますこと何卒ご理解いただきますようお願い申し上げます。具体的には、以下に並べる内容が対象外となりますことご留意ください:
レート制限(パスワードの更新を含むが、これに限らないもの)
脆弱な暗号スイート(TLS 1.0-1.1)
2段階認証を有効にした際にセッションが破棄されない(設計上の理由によるもの)
サブリソースインテグリティ(SRI)の欠如
セキュリティヘッダーやクッキーのフラグ不足
DNSSECまたはDANEが未設定
CAA DNSレコードの不足
MITMやユーザーのデバイスへ物理的なアクセスが必要となる攻撃に関するもの
その他の「ベストプラクティス」に関する報告も対象外となる可能性がございます。ただし、アタッカー(攻撃する者)が実際にどのように損害を与えるかその方法を示す報告などは、ぜひ、共用頂ければ幸いです。
また、当社では、どのような内容が当社の管轄外になるのか、対象外に当たるかを判断させていただく場合もございます。
そして最後に、事前に当社に警告することなくバグを悪用したり公開したりされる方には、報酬をお支払いすることはできませんこと、何卒ご理解いただけますようお願い申し上げます。