最後更新日　2021年3月26日

我々はウェブサイトとアプリケーションの安全性を保証します。責任をもって開示されたバグを奨励します。

対象となるバグ

ユーザーデータの機密性と完全性に悪影響を与える設計や実装上の問題はこのプログラムの対象になります。下記を含む通常のバグ:

• クロスサイトスクリプト

• クロスサイト偽造要求

• 複合内容スクリプト

• 認証欠陥

• サーバー側の実行バグ

全てのユーザーが当社のサービスを利用できるようにするために、DoS 攻撃、ブラックハットSEOテクニックの活用、スパム、ブルートフォース認証、または他の疑わしい行為を行わないようにお願いします。また、自動的に大量なウェブトラフィックを生成するようなバグテストツールの使用も推奨しません。

セキュリティ脆弱性の金銭的報酬

バグのレベル及びビジネス影響度によって、クレジットから$2,000までの金銭的価値があると認定され、報酬を提供します。下記のリストからセキュリティバグの価値をご確認ください:

1. 攻撃によるプライバシー損害、金銭的な損失、及びその他のユーザーへの損害を引き起こす可能性のある攻撃の可能性などに基づいて影響が評価されます。

2. 攻撃を実施するための必要な技術的なスキルセット、攻撃の動機、及び攻撃者に発見される可能性などに基づいて確率が評価されます。

最終的な報酬金額は、確率と影響の評価に基づいて報酬パネルの裁量で決定されます。その決定は最終的なものであり、論争は許されません。

バグの調査と報告

脆弱性を調査する場合、ご自身のアカウントを攻撃の対象としてください。他人のデータにアクセスしたり、他のユーザーに損害を与えるような行為をしたりしないでください。

複数の製品に同じような脆弱性がある場合、問題をまとめて1つのレポートを送ってください。脆弱性を見つけた場合、marketing@ahasave.comまでご連絡ください。我々は技術的な脆弱性レポートにのみ返信します。

特定の脆弱性（バグ）について、最初のレポートだけが奨励され、同じ問題に関する重複なレポートは奨励されないことをご理解ください。 特定のバグに対して、最初のレポートには報奨金を与えます。バグを再現するステップをテキストで記載し、動画や写真も添付してください。

合法性理由

AhaSaveは制裁リストに載っている個人または制裁リストに載っている国 (i.e. キューバ、イラン、北朝鮮、スーダン及びシリア）にいる個人に報奨金を提供することはできません。居住国と市民権に応じて税金を負担していただきます。現地の法律によって、追加の制限が課される場合があります。

この報奨金プログラムは競争手段ではなく、技術愛好家により発見されたバグを改善するために試行する任意の報奨金プログラムです。 AhaSave はいつでもプログラムをキャンセルし、報奨金を授与する決定権を有します。最後に、ユーザーが実施するテストは、法律を違反したり、他人のデータを混乱させたり損害したりすることはできません。