Bug Bounty

Este important pentru noi să păstrăm datele utilizatorilor în siguranță, așa că suntem gata să cooperăm cu persoanele care caută vulnerabilități și le recompensează.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Recompensă

Gazduirea Ucrainei oferă o recompensă pentru vulnerabilitățile constatate. Suma minimă a remunerației este de 50$, maxim - 1000$... Valoarea recompensei depinde de nivelul de vulnerabilitate, care este determinat de cât de realist este să exploatezi vulnerabilitatea:

  1. Nivel înalt - până la 1000$. Acces la baza de date centrală, acces la codul sursă, executarea comenzilor arbitrare pe serverul central, executarea comenzilor arbitrare pe serverul de găzduire ca root.
  2. Nivel mediu - până la 250$. 
  3. Nivel scăzut - până la 150$. Potențiale atacuri greu de făcut sau pentru care trebuie să se potrivească un număr mare de factori. 
  4. Toate atacurile XSS care necesită urmărirea unei legături sunt limitate la 50$.
  5. Vulnerabilitățile găsite în versiunile alfa și beta ale serviciilor sunt limitate la 150$. (29/11/2022)

Rapoarte

Pentru a spori încrederea în părți, procesul de depunere a unui raport de vulnerabilitate se realizează conform următorului algoritm:

  1. Tu scrii email anchetă cu privire la posibilitatea depunerii unui raport... Vă vom spune că suntem gata să acceptăm noua vulnerabilitate. Vom face acest lucru numai dacă nu avem alte vulnerabilități în munca noastră. Deoarece poate exista o situație în care cineva a raportat deja aceeași vulnerabilitate și se dovedește că ați trimis vulnerabilitatea, dar nu veți primi o recompensă pentru aceasta.
  2. După obținerea consimțământului, verificați posibilitatea exploatării vulnerabilității.
  3. Trimiteți o singură eroare... Nu ar trebui să trimiteți o mulțime de erori simultan, deoarece există adesea cazuri când, când o vulnerabilitate este închisă, aceasta este închisă imediat în alte locuri. La urma urmei, o linie de cod poate fi apelată din sute de locuri din program.
  4. Studiem impactul și realitatea exploatării vulnerabilității.
  5. Remediem eroarea.
  6. Plătim remunerație către PayPal, cont curent sau card. Nu avem capacitatea de a efectua plăți în criptomonede (Bitcoin și altele), deoarece nu le folosim.

Condiții

  1. Programul nu include dezvoltarea terților, vulnerabilitățile sistemului de operare zero zile, erori în nucleele procesorului și alte vulnerabilități pe care nu le putem influența.
  2. Programul se aplică numai software-ului creat de noi, care se află pe site-uri web ukraine.com.ua, auth.adm.tools, webmail.online și adm.tools.
  3. Nu utilizați vulnerabilitatea găsită pentru a modifica informațiile sau pentru a obține acces neautorizat la acestea. Folosiți-vă contul pentru testare.
  4. Vă rugăm să ne informați cât mai curând posibil dacă ați modificat din greșeală datele care nu ar trebui modificate. Nu vizualizați, modificați sau salvați datele obținute în cazul unei vulnerabilități.
  5. Acționați cu bună intenție pentru a nu încălca confidențialitatea altor utilizatori, nu dezactivați serviciile.
  6. Acționează în cadrul legii.
  7. Răsplata revine primei persoane care a raportat vulnerabilitatea.
  8. Publicarea unei vulnerabilități pe Internet înainte de soluționarea acesteia poate duce la anularea recompensei Nu vom negocia ca răspuns la amenințări (de exemplu, nu vom negocia o sumă de plată sub amenințarea de a ascunde o vulnerabilitate sau a amenința cu dezvăluirea publică a unei vulnerabilități sau a oricărei divulgări).
  9. Viteza de procesare a erorilor depinde de severitatea erorilor și de volumul de lucru al programatorilor și durează de la 3 la 30 de zile.

Vulnerabilități pentru care nu se plătește nicio remunerație

Următoarele întrebări sunt în afara scopului programului nostru de recompensă:

  1. Politica noastră privind prezența / absența înregistrărilor SPF / DMARC.
  2. Parolă, e-mail și politici de cont, cum ar fi verificarea ID-ului de e-mail, resetarea expirării linkului, complexitatea parolei.
  3. Lipsa de jetoane CSRF (dacă nu există dovezi ale unei acțiuni reale, confidențiale a utilizatorului care nu este protejată de un jeton).
  4. Atacurile care necesită acces fizic la dispozitivul utilizatorului. La fel și atacuri legate de interceptarea traficului. 
  5. Nu există antete de securitate care să nu conducă direct la o vulnerabilitate.
  6. Lipsa celor mai bune practici (avem nevoie de dovezi ale vulnerabilității sistemului).
  7. Plasarea conținutului rău intenționat / arbitrar pe găzduire.
  8. Orice atacuri îndreptate către sine, cum ar fi Self-XSS.
  9. Vom accepta rapoarte de vulnerabilități în sistemul de operare și produse de la terți, dar nu le vom recompensa.
  10. Găzduiți injecțiile de antet dacă nu puteți arăta cum pot duce la furtul de date ale utilizatorilor.
  11. Folosirea unei biblioteci vulnerabile cunoscute (fără dovezi de utilizare).
  12. Rapoarte din instrumente automate sau scanări.
  13. Vulnerabilități care afectează utilizatorii de browsere sau platforme învechite.
  14. Ingineria socială a angajaților sau contractanților Hosting Ucrainei.
  15. Prezența atributului de completare automată în formularele web.
  16. Lipsesc semnalizatoarele cookie-urilor pentru cookie-urile insensibile.
  17. Rapoarte de cifrări SSL / TLS nesigure (cu excepția cazului în care aveți o dovadă de lucru funcțională, nu doar un raport de la un scaner).
  18. Capacitatea de a determina dacă utilizatorul este înregistrat pe găzduire, dacă e-mailul său este cunoscut.
  19. Orice raport privind eludarea restricțiilor noastre de servicii.
  20. Vulnerabilitățile de falsificare a conținutului (atunci când puteți insera doar text sau o imagine pe o pagină) sunt în afara domeniului de aplicare. Vom accepta și vom remedia o vulnerabilitate de falsificare în care un atacator poate introduce o imagine sau un text îmbogățit (HTML), dar nu este eligibil pentru o recompensă. Introducerea textului pur este în afara domeniului de aplicare.
  21. Creați mai multe conturi folosind aceeași adresă de e-mail.
  22. Risc de phishing din cauza unor probleme unicode / punycode sau RTLO.
  23. Vulnerabilitate din cauza faptului că am dezactivat DMARC. Nu este o vulnerabilitate faptul că serverele terțe ignoră înregistrările SPF și acceptă e-mailuri de la servicii terțe (inclusiv Gmail).
  24. Orice fel de atacuri flood și bruteforce, DoS și DDoS, precum și atacuri legate de scăderea performanței serverului. 
  25. Atacurile în care atacatorul are acces la e-mailul sau telefonul victimei.
  26. Lipsesc anteturi de securitate COEP, COOP, CORS, CORB, Politica de referință, Politica de securitate a conținutului, HSTS, Prefixul cookie, SameSiteCookie...
  27. Disponibilitatea informațiilor despre software-ul utilizat. Suntem un furnizor de găzduire și anunțăm clienților informații despre software-ul instalat. Prin urmare, aceste informații nu pot fi clasificate.
  28. Obținerea adresei IP a unui angajat al companiei nu este o vulnerabilitate. Asistența tehnică deschide linkuri, puteți trimite un link de phishing sau un fișier SVG la e-mail etc.
  29. Prezența datelor EXIF în fișierele imagine pe care utilizatorii le trimit. Clienții noștri nu își publică fotografiile personale pe site-ul nostru, care pot conține EXIF cu coordonate valoroase.
  30. Se încarcă fișiere SVG. Le salvăm ca atașamente și nu le afișăm pe site. Acest lucru evită obținerea de date de pe site.
  31. Social Engeneering Attacks.
  32. Prezența înregistrărilor CAA în DNS.
  33. «„Atacuri prietenoase” efectuate de utilizatori cărora victima le-a acordat acces la servicii. 16.05.2023
  34. Orice public CVE-, CWE-vulnerabilități ale software-ului public, certificate etc.
  35. Atacurile care necesită acces fizic la computerul victimei. 26/01/2024

Dispoziții finale

  1. Sunteți responsabil pentru plata oricăror impozite legate de premii.
  2. Putem schimba termenii acestui program sau îl putem rezilia în orice moment. Nu vom aplica retroactiv modificările aduse acestor termeni ai programului.
  3. Angajații Hosting.XYZ LTD și membrii familiei lor nu sunt eligibili pentru remunerație.
  4. Gazduirea Ucrainei vă poate oferi acces gratuit la produse. Acest acces are doar scop de testare și poate fi revocat în orice moment cu sau fără notificare prealabilă.