Bug Bounty

Zależy nam na tym, aby dane użytkowników były bezpieczne, dlatego jesteśmy gotowi współpracować z osobami, które wyszukują luki i nagradzają je.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Nagroda

Hosting.XYZ LTD zapewnia nagrodę za znalezione luki w zabezpieczeniach. Minimalna wysokość wynagrodzenia to 50$, maksymalnie - 1000$... Wysokość nagrody zależy od poziomu podatności, który zależy od tego, jak realistyczne jest wykorzystanie luki:

  1. Wysoki poziom - do 1000$. Dostęp do centralnej bazy danych, dostęp do kodu źródłowego, wykonywanie dowolnych poleceń na serwerze centralnym, wykonywanie dowolnych poleceń na serwerze hostingowym jako root.
  2. Poziom średni - do 250$. 
  3. Niski poziom - do 150$. Potencjalne ataki, które są trudne do wykonania lub dla których musi pasować duża liczba czynników. 
  4. Wszystkie ataki XSS wymagające podążania za łączem są ograniczone do 50$.
  5. Luki wykryte w wersjach alfa i beta usług są ograniczone do 150$. (29/11/2022)

Raporty

Aby zwiększyć zaufanie do stron, proces zgłaszania podatności realizowany jest według następującego algorytmu:

  1. Piszesz do email zapytanie o możliwość złożenia raportu... Powiemy Ci, że jesteśmy gotowi zaakceptować nową lukę. Zrobimy to tylko wtedy, gdy nie będziemy mieć innych luk w naszej pracy. Skoro może zaistnieć sytuacja, że ktoś już zgłosił tę samą podatność i okaże się, że wysłałeś podatność, ale nie otrzymasz za nią nagrody.
  2. Po uzyskaniu zgody sprawdzasz możliwość wykorzystania luki.
  3. Prześlij tylko jeden błąd... Nie powinieneś wysyłać wielu błędów na raz, ponieważ często zdarzają się sytuacje, gdy luka jest zamknięta, jest natychmiast zamykana w innych miejscach. W końcu jeden wiersz kodu można wywołać z setek miejsc w programie.
  4. Badamy wpływ i rzeczywistość wykorzystania luki.
  5. Naprawiamy błąd.
  6. Wynagrodzenie wypłacamy na PayPal, rachunek bieżący lub kartę. Nie mamy możliwości dokonywania płatności w kryptowalutach (Bitcoin i innych), ponieważ ich nie używamy.

Warunki

  1. Program nie obejmuje rozwoju stron trzecich, luk w systemie operacyjnym zero-day, błędów rdzeni procesorów i innych luk, na które nie mamy wpływu.
  2. Program dotyczy wyłącznie stworzonego przez nas oprogramowania, które znajduje się na stronach internetowych ukraine.com.ua, auth.adm.tools, webmail.online i adm.tools.
  3. Nie wykorzystuj wykrytej luki w zabezpieczeniach do zmiany informacji lub uzyskania do nich nieautoryzowanego dostępu. Użyj swojego konta do testowania.
  4. Daj nam znać jak najszybciej, jeśli przypadkowo zmieniłeś dane, które nie powinny być zmieniane. Nie przeglądaj, nie modyfikuj ani nie zapisuj danych uzyskanych w przypadku wystąpienia luki.
  5. Działaj z dobrą intencją, aby nie naruszać prywatności innych użytkowników, nie wyłączaj usług.
  6. Działaj zgodnie z prawem.
  7. Nagroda trafia do pierwszej osoby, która zgłosi lukę.
  8. Opublikowanie podatności w Internecie przed jej usunięciem może skutkować anulowaniem nagrody Nie będziemy negocjować w odpowiedzi na groźby (na przykład nie będziemy negocjować kwoty wypłaty pod groźbą ukrycia podatności lub grożąc ujawnieniem podatności lub ujawnieniem opinii publicznej).
  9. Szybkość przetwarzania błędów zależy od wagi błędów i obciążenia programistów i trwa od 3 do 30 dni.

Podatności, za które nie wypłaca się wynagrodzenia

Poniższe pytania są poza zakresem naszego programu nagród:

  1. Nasza polityka dotycząca obecności/braku zapisów SPF/DMARC.
  2. Zasady dotyczące haseł, e-maili i kont, takie jak weryfikacja identyfikatora e-mail, wygaśnięcie linku resetowania, złożoność hasła
  3. Brak tokenów CSRF (jeśli nie ma dowodów na faktyczne, poufne działanie użytkownika, które nie jest chronione tokenem).
  4. Ataki wymagające fizycznego dostępu do urządzenia użytkownika. A także ataki związane z przechwytywaniem ruchu. 
  5. Nie ma nagłówków bezpieczeństwa, które nie prowadzą bezpośrednio do luki.
  6. Brak najlepszych praktyk (potrzebujemy dowodów na podatność systemu).
  7. Umieszczanie złośliwych/arbitralnych treści na hostingu.
  8. Wszelkie ataki skierowane na siebie, takie jak Self-XSS.
  9. Przyjmiemy zgłoszenia o lukach w systemie operacyjnym i produktach firm trzecich, ale nie będziemy ich nagradzać.
  10. Wstrzyknięcia nagłówka hosta, jeśli nie możesz pokazać, w jaki sposób mogą prowadzić do kradzieży danych użytkownika.
  11. Korzystanie ze znanej podatnej biblioteki (brak dowodu użycia).
  12. Raporty z automatycznych narzędzi lub skanów.
  13. Luki mające wpływ na użytkowników przestarzałych przeglądarek lub platform.
  14. Socjotechnika pracowników lub kontrahentów Hosting.XYZ LTD.
  15. Obecność atrybutu autouzupełniania w formularzach internetowych.
  16. Brakujące flagi plików cookie dla niewrażliwych plików cookie.
  17. Raporty o niezabezpieczonych szyfrach SSL / TLS (chyba że masz działający dowód koncepcji, a nie tylko raport ze skanera).
  18. Możliwość ustalenia, czy użytkownik jest zarejestrowany na hostingu, jeśli jego adres e-mail jest znany.
  19. Wszelkie zgłoszenia dotyczące obchodzenia naszych ograniczeń usług.
  20. Luki w zabezpieczeniach dotyczące fałszowania treści (gdy na stronie można wstawić tylko tekst lub obraz) są poza zakresem. Zaakceptujemy i naprawimy usterkę dotyczącą fałszowania, w której atakujący może wprowadzić obraz lub tekst sformatowany (HTML), ale nie kwalifikuje się do nagrody. Wprowadzenie czystego tekstu jest poza zakresem.
  21. Utwórz wiele kont przy użyciu tego samego adresu e-mail.
  22. Ryzyko phishingu z powodu problemów z Unicode / Punycode lub RTLO.
  23. Luka wynikająca z wyłączenia DMARC. Nie oznacza to, że serwery innych firm ignorują rekordy SPF i akceptują wiadomości e-mail z usług innych firm (w tym Gmaila).
  24. Wszelkiego rodzaju ataki typu flood i bruteforce, DoS i DDoS, a także ataki związane ze spadkiem wydajności serwera. 
  25. Ataki, w których atakujący ma dostęp do poczty elektronicznej lub telefonu ofiary.
  26. Brakujące nagłówki zabezpieczeń COEP, COOP, CORS, CORB, polityka odsyłająca, polityka bezpieczeństwa treści, HSTS, prefiks pliku cookie, SameSiteCookie...
  27. Dostępność informacji o używanym oprogramowaniu. Jesteśmy dostawcą usług hostingowych i informujemy klientów o zainstalowanym oprogramowaniu. Dlatego te informacje nie mogą być sklasyfikowane.
  28. Uzyskanie adresu IP pracownika firmy nie jest luką. Pomoc techniczna otwiera linki, możesz wysłać link phishingowy lub plik SVG na pocztę itp.
  29. Obecność danych EXIF w plikach graficznych przesyłanych przez użytkowników. Nasi klienci nie publikują na naszej stronie swoich osobistych zdjęć, które mogą zawierać EXIF z cennymi współrzędnymi.
  30. Ładowanie plików SVG. Zapisujemy je jako załączniki i nie wyświetlamy ich w serwisie. Pozwala to uniknąć pobierania danych z witryny.
  31. Social Engeneering Attacks.
  32. Obecność rekordów CAA w DNS.
  33. «„Przyjazne ataki” przeprowadzane przez użytkowników, którym ofiara przyznała dostęp do usług. 16.05.2023
  34. Wszelkie publiczne Luki CVE, CWE w publicznym oprogramowaniu, certyfikatach itp.
  35. Ataki wymagające fizycznego dostępu do komputera ofiary. 26/01/2024

Postanowienia końcowe

  1. Jesteś odpowiedzialny za opłacenie wszelkich podatków związanych z nagrodami.
  2. Możemy zmienić warunki tego programu lub zakończyć go w dowolnym momencie. Nie będziemy stosować żadnych zmian wprowadzonych do niniejszych warunków programu z mocą wsteczną.
  3. Pracownicy Hosting.XYZ LTD i członkowie ich rodzin nie są uprawnieni do wynagrodzenia.
  4. Hosting Ukraina może zapewnić Ci bezpłatny dostęp do produktów. Dostęp ten służy wyłącznie do celów testowych i może zostać cofnięty w dowolnym momencie z uprzednim powiadomieniem lub bez niego.