Bug Bounty — Teilnahmebedingungen
Stand: März 2026
\n
Wichtiger Hinweis: Die Teilnahme am Bug Bounty Programm ist freiwillig. Es besteht kein Anspruch auf Vergütung. Sämtliche Entscheidungen obliegen ausschliesslich und unwiderruflich der C&W Software Labs AG.
\n
1. Programmübersicht
Das Omega Connect Bug Bounty Programm ermöglicht verantwortungsvolle Meldung von Schwachstellen. Vergütung in USDC (ERC-20) nach eigenem Ermessen.
\n
2. Geltungsbereich
- Omega Connect iOS & Android App
- API-Endpunkte
- omegaconnect.app
- PGP-Implementierung
- Wallet-Funktionalität
Ausserhalb: Drittanbieter, Social Engineering, DoS, bereits bekannte Schwachstellen.
\n
3. Vergütungsrahmen (indikativ)
Beträge dienen ausschliesslich als unverbindliche Orientierung.
- Critical ($500–$2,000): PGP-Leaks, Seed-Exposure, Auth-Bypasses, RCE
- High ($100–$500): Datenverlust, Verschlüsselungsfehler, Token-Leaks
- Medium ($25–$100): Abstürze, Performance, Sync-Fehler
- Low ($5–$25): UI-Fehler, Tippfehler, UX-Vorschläge
\n
Kein Rechtsanspruch auf Vergütung. Die Entscheidung liegt im alleinigen Ermessen der C&W Software Labs AG. Ein Report begründet keinerlei vertragliche Beziehung.
\n
4. Teilnahmevoraussetzungen
Nichteinhaltung führt zum sofortigen Ausschluss:
- Reports müssen originär und nicht zuvor veröffentlicht sein
- Zugriff auf fremde Nutzerdaten ist untersagt
- Destruktive Tests gegen Produktivsysteme untersagt
- Reports müssen reproduzierbar sein
- Nur Erstmelder werden berücksichtigt
- Automatisierte Scanner ohne Genehmigung untersagt
- Meldung muss in gutem Glauben erfolgen
\n
5. Responsible Disclosure
90 Tage Vertraulichkeit. Vorzeitige Veröffentlichung = sofortiger Ausschluss und Vergütungsverlust.
\n
6. Auszahlung
- Prüfung innerhalb 48 Stunden
- Auszahlung ausschliesslich in USDC (ERC-20)
- Nur gültige Ethereum-Adressen (0x + 40 Hex)
- 5–10 Werktage Bearbeitungszeit
- Transaktionshash als Bestätigung
\n
7. Ausschlussgründe
- Verstoss gegen Teilnahmevoraussetzungen
- Erpressung, Drohung, Nötigung
- Bewusst falsche Reports
- Mehrfacheinreichung unter verschiedenen Identitäten
- Verstoss gegen Vertraulichkeit
- Gesetzesverstösse
\n
8. Steuern
Melder ist allein verantwortlich für anfallende Steuern.
\n
9. Änderungen
Programm kann jederzeit geändert, ausgesetzt oder eingestellt werden.
\n
10. Haftung
Teilnahme auf eigenes Risiko. Maximale Haftung = Vergütungshöhe.
\n
11. Safe Harbor
Bei Einhaltung aller Bedingungen werden keine rechtlichen Schritte eingeleitet.
\n
12. Recht & Gerichtsstand
Schweizer Recht. Gerichtsstand: Zug.
\n
13. Kontakt
C&W Software Labs AG, security@omegaconnect.app
\n
ZurückBug Bounty — Terms of Participation
Last updated: March 2026
\n
Important Notice: Participation is voluntary. There is no entitlement to compensation. All decisions are at the sole and irrevocable discretion of C&W Software Labs AG.
\n
1. Overview
The Omega Connect Bug Bounty Program enables responsible disclosure of vulnerabilities. Compensation in USDC (ERC-20) at sole discretion.
\n
2. Scope
- Omega Connect iOS & Android App
- API endpoints
- omegaconnect.app
- PGP implementation
- Wallet functionality
Out of scope: Third-party services, social engineering, DoS, known vulnerabilities.
\n
3. Reward Framework (Indicative)
Amounts serve solely as non-binding guidance.
- Critical ($500–$2,000): PGP leaks, seed exposure, auth bypasses, RCE
- High ($100–$500): Data loss, encryption flaws, token leaks
- Medium ($25–$100): Crashes, performance, sync errors
- Low ($5–$25): UI glitches, typos, UX suggestions
\n
No legal entitlement to compensation. Decision at sole discretion of C&W Software Labs AG. A report does not establish any contractual relationship.
\n
4. Requirements
Non-compliance results in immediate exclusion:
- Reports must be original and not previously disclosed
- Accessing other users' data is prohibited
- Destructive testing is prohibited
- Reports must be reproducible
- First reporter only
- Automated scanners without authorization prohibited
- Good faith required
\n
5. Responsible Disclosure
90 days confidentiality. Premature disclosure = immediate exclusion and forfeiture.
\n
6. Payout
- Review within 48 hours
- Payouts exclusively in USDC (ERC-20)
- Valid Ethereum addresses only (0x + 40 hex)
- 5–10 business days processing
- Transaction hash as confirmation
\n
7. Exclusion Grounds
- Violation of requirements
- Extortion, threats, coercion
- Knowingly false reports
- Multiple submissions under different identities
- Confidentiality violations
- Legal violations
\n
8. Taxes
Reporter solely responsible for applicable taxes.
\n
9. Modifications
Program may be modified, suspended, or terminated at any time.
\n
10. Liability
Participation at own risk. Maximum liability = reward amount.
\n
11. Safe Harbor
Compliance with all terms = no legal action.
\n
12. Governing Law
Swiss law. Jurisdiction: Zug, Switzerland.
\n
13. Contact
C&W Software Labs AG, security@omegaconnect.app
\n
Back