Upload Premium
English Deutsch Français Español Русский Polski Türkçe Nederlands العربية עברית Magyar Bahasa Indonesia 日本語 ไทย

Bug Bounty Programm

Helfen Sie uns, ddownload.com sicher zu halten

Verdienen Sie Prämien durch das Melden von Sicherheitslücken

Bei ddownload.com hat Sicherheit oberste Priorität. Wir glauben an die Zusammenarbeit mit der Sicherheits-Community, um Schwachstellen zu identifizieren und zu beheben. Unser Bug Bounty Programm belohnt Sicherheitsforscher, die uns helfen, die höchsten Sicherheitsstandards für unsere Plattform und Nutzer aufrechtzuerhalten.

Prämienstufen

Die Prämien werden basierend auf der Schwere und den Auswirkungen der Schwachstelle bestimmt. Alle Einreichungen werden von unserem Sicherheitsteam bewertet.

Kritisch
€1.000 - €5.000
Schwachstellen, die ein unmittelbares und schwerwiegendes Risiko für unsere Plattform, Nutzer oder Infrastruktur darstellen.
Beispiele:
  • Remote Code Execution (RCE)
  • SQL Injection mit Datenleck
  • Authentifizierungsumgehung
  • Manipulation des Zahlungssystems
  • Beliebiger Datei-Upload mit RCE
  • Vollständige Kontoübernahme
Hoch
€500 - €1.000
Bedeutende Schwachstellen, die zu unbefugtem Zugriff oder Datenexposition führen können.
Beispiele:
  • Stored XSS auf kritischen Seiten
  • SQL Injection (begrenzte Auswirkung)
  • Rechteausweitung
  • SSRF mit Zugriff auf internes Netzwerk
  • Offenlegung sensibler Daten (PII)
  • Kritische IDOR-Schwachstellen
Mittel
€100 - €500
Moderate Schwachstellen mit potenziellen Sicherheitsauswirkungen, die Benutzerinteraktion erfordern.
Beispiele:
  • Reflected XSS
  • CSRF bei sensiblen Aktionen
  • Geringfügige IDOR-Probleme
  • Open Redirect zu Authentifizierungsseiten
  • Informationsoffenlegung (nicht-sensitiv)
  • Rate-Limiting-Umgehung

Hinweis: Die endgültigen Prämienbeträge liegen im Ermessen unseres Sicherheitsteams basierend auf Ausnutzbarkeit, Auswirkung und Qualität des Berichts. Doppelte Berichte sind nicht prämienberechtigt.

Geltungsbereich

Die folgenden Assets und Schwachstellentypen liegen im Geltungsbereich unseres Bug Bounty Programms:

Im Geltungsbereich

  • ddownload.com - Hauptwebsite und alle Subdomains
  • Datei-Upload/-Download-Funktionalität - Dateiverarbeitung, Speicherung und Auslieferung
  • Benutzerauthentifizierung & Autorisierung - Anmeldung, Registrierung, Passwort-Reset
  • Zahlungsabwicklung - Premium-Käufe und Transaktionen
  • API-Endpunkte - Öffentliche und authentifizierte API-Aufrufe
  • Admin-Panel - Administrative Schnittstellen (nur mit Proof of Concept)

Außerhalb des Geltungsbereichs

  • Denial of Service (DoS/DDoS) Angriffe
  • Social Engineering Angriffe (Phishing, Vishing, etc.)
  • Tests der physischen Sicherheit
  • Dienste und Integrationen von Drittanbietern
  • Probleme in veralteten Browsern oder Plattformen
  • Spam oder Content-Injection ohne Sicherheitsauswirkung
  • Self-XSS oder Probleme, die erhebliche Benutzerinteraktion erfordern
  • Rate-Limiting auf unkritischen Endpunkten

Einreichungsprozess

1
Entdecken
Identifizieren Sie eine potenzielle Sicherheitslücke in unserem Geltungsbereich
2
Dokumentieren
Erstellen Sie einen detaillierten Bericht mit Reproduktionsschritten und Proof of Concept
3
Einreichen
Senden Sie Ihren Bericht per E-Mail an unser Sicherheitsteam
4
Prämie erhalten
Erhalten Sie eine Bestätigung und Ihre Prämie nach Verifizierung

Antwortzeit: Wir bemühen uns, alle Berichte innerhalb von 48 Stunden zu bestätigen und innerhalb von 5 Werktagen eine erste Bewertung zu liefern. Kritische Schwachstellen werden priorisiert.

Regeln & Richtlinien

  • Unternehmen Sie alle Anstrengungen, um Datenschutzverletzungen, Datenzerstörung und Dienstunterbrechungen zu vermeiden
  • Greifen Sie nicht auf Daten anderer Benutzer zu, ändern oder löschen Sie diese nicht
  • Führen Sie keine Angriffe durch, die die Zuverlässigkeit oder Integrität unserer Dienste beeinträchtigen könnten
  • Testen Sie nur gegen Konten, die Sie besitzen oder für die Sie ausdrückliche Erlaubnis zum Testen haben
  • Verwenden Sie keine automatisierten Scanner oder Tools, die übermäßigen Traffic erzeugen
  • Melden Sie Schwachstellen so bald wie möglich nach der Entdeckung
  • Behandeln Sie Schwachstellendetails vertraulich, bis wir das Problem behoben haben
  • Veröffentlichen Sie die Schwachstelle nicht ohne unsere schriftliche Zustimmung
  • Reichen Sie eine Schwachstelle pro Bericht ein für schnellere Bearbeitung
  • Stellen Sie detaillierte Schritte zur Reproduktion der Schwachstelle bereit
  • Fügen Sie Proof-of-Concept-Code, Screenshots oder Videos bei, wenn zutreffend
  • Sie müssen der ursprüngliche Entdecker der Schwachstelle sein

Safe Harbor: Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinien einhalten und in gutem Glauben handeln. Wir betrachten Sicherheitsforschung, die im Rahmen dieser Richtlinie durchgeführt wird, als autorisierte Tests.

Bereit, eine Schwachstelle einzureichen?

Senden Sie Ihren detaillierten Sicherheitsbericht an unser Team

[email protected]

Bitte fügen Sie "Bug Bounty" in die Betreffzeile ein und verschlüsseln Sie sensible Informationen nach Möglichkeit mit unserem PGP-Schlüssel.