Ασφάλεια

Πρόγραμμα Bug Bounty

Η BelHost καλωσορίζει την υπεύθυνη αποκάλυψη από ερευνητές ασφαλείας. Εξετάζουμε όλες τις αναφορές που πληρούν τις προϋποθέσεις και μπορούμε να προσφέρουμε ανταμοιβές για έγκυρες ευπάθειες.

Αναφορά Ευπάθειας Διαβάστε τις Οδηγίες
Σε αυτή τη σελίδα
Κανάλι αναφοράς
[email protected]

Επισκόπηση

Θεωρούμε την ασφάλεια των συστημάτων μας ως κορυφαία προτεραιότητα. Κανένα σύστημα δεν είναι τέλειο και μπορεί πάντα να υπάρχουν ελαττώματα σε οποιαδήποτε τεχνολογία. Ανυπομονούμε να συνεργαστούμε με έμπειρους ερευνητές ασφαλείας για να προστατεύσουμε τους πελάτες μας.

Εάν πιστεύετε ότι έχετε εντοπίσει κάποιο ζήτημα ασφαλείας στο προϊόν ή την υπηρεσία μας, σας ενθαρρύνουμε να μας ενημερώσετε.

Οδηγίες για υπεύθυνη αποκάλυψη

  • Ενημερώστε μας το συντομότερο δυνατό μετά την ανακάλυψη ενός πιθανού ζητήματος ασφαλείας και θα καταβάλουμε κάθε προσπάθεια να το επιλύσουμε γρήγορα.
  • Δώστε μας εύλογο χρόνο για να επιλύσουμε το ζήτημα πριν από οποιαδήποτε αποκάλυψη στο κοινό ή σε τρίτο μέρος.
  • Απαγορεύεται η μη εξουσιοδοτημένη υποδύση: οποιεσδήποτε απόπειρες κοινωνικής μηχανικής άλλου μέρους μέσω υποδύσεως υπαλλήλου της BelHost, άλλου ερευνητή ή ομάδας ασφαλείας δεν θα γίνονται ανεκτές.
  • Εάν συμμορφώνεστε με όλες τις προϋποθέσεις που ορίζονται σε αυτές τις οδηγίες, δεν θα λάβουμε καμία νομική ενέργεια εναντίον σας σχετικά με την αναφορά σας.
  • Η αναφορά σας θα τηρηθεί εμπιστευτική. Δεν θα μοιραστούμε τα προσωπικά σας στοιχεία με τρίτους χωρίς προηγούμενη συγκατάθεση, εκτός εάν είναι απαραίτητο για συμμόρφωση με νομική υποχρέωση.

Ανταμοιβές

Για να εκφράσουμε την εκτίμησή μας, η BelHost προσφέρει ανταμοιβές για αναφορές αξιόλογων ευπαθειών ασφαλείας. Οι ανταμοιβές μπορεί να απονέμονται ως χρηματική αποζημίωση ή εμπορεύματα BelHost. Το ποσό της ανταμοιβής είναι στη διακριτική ευχέρεια της BelHost και βασίζεται στην εσωτερική αξιολόγηση σοβαρότητας της αποκαλυφθείσας ευπάθειας. Η ανταμοιβή θα ανακοινωθεί μετά την επικύρωση από τις εσωτερικές ομάδες μας.

Επιλεξιμότητα

Για να δικαιούστε ανταμοιβή, πρέπει να:

  1. Είστε ο πρώτος που αναφέρει την ευπάθεια.
  2. Ακολουθείτε τις οδηγίες που περιγράφονται σε αυτή τη σελίδα.
  3. Δεν αποκαλύπτετε δημόσια την ευπάθεια πριν από την επίλυσή μας.
  4. Παρέχετε μια λειτουργική απόδειξη έννοιας που εκμεταλλεύεται το ζήτημα ασφαλείας.
  5. Χρησιμοποιείτε μόνο λογαριασμούς που δημιουργήσατε εσείς και δεν αποκτάτε πρόσβαση σε δεδομένα άλλων χρηστών.
  6. Δεν είστε κάτοικος χώρας που περιλαμβάνεται στη λίστα Specially Designated Nationals and Blocked Persons (SDN).
  7. Δεν είστε κάτοικος χώρας που περιλαμβάνεται στον Ενοποιημένο Κατάλογο προσώπων, ομάδων και οντοτήτων που υπόκεινται σε χρηματοοικονομικές κυρώσεις της ΕΕ.

Απόλυτες εξαιρέσεις

Οι ακόλουθες κατηγορίες είναι εκτός πεδίου εφαρμογής και γενικά δεν θα λαμβάνουν απάντηση.

Κοινωνικές και φυσικές επιθέσεις
  • Κοινωνική μηχανική (συμπεριλαμβανομένου phishing)
  • Οποιεσδήποτε φυσικές απόπειρες εναντίον ιδιοκτησίας ή κέντρων δεδομένων της BelHost
  • Φυσική επίθεση στην υποδομή
Δοκιμές διαθεσιμότητας και κατάχρησης
  • Άρνηση υπηρεσίας
  • Brute forcing
  • Αναφορές από αυτοματοποιημένα εργαλεία και σαρώσεις
  • Απουσία ορίων ρυθμού
Ζητήματα ιστού χαμηλής σημασίας
  • CSRF
  • Self-XSS
  • Clickjacking και ζητήματα που μπορούν να αξιοποιηθούν μόνο μέσω clickjacking
  • Παραποίηση περιεχομένου σε σελίδες σφάλματος ή έγχυση κειμένου
  • Επιθέσεις ομογράφων
  • Ανοιχτές ανακατευθύνσεις
  • Αδύναμο CAPTCHA / παράκαμψη CAPTCHA
  • Ζητήματα σχετικά με cache
Ευρήματα μόνο διαμόρφωσης και κεφαλίδων
  • Σχετικά με X-Frame-Options
  • Απουσία σημαιών cookie
  • Απουσία κεφαλίδων ασφαλείας που δεν οδηγούν άμεσα σε ευπάθεια
  • Απουσία noreferrer, noopener
  • Ζητήματα DKIM/SPF/DMARC
  • Αποκάλυψη έκδοσης
  • Καταχώρηση καταλόγου
  • Ζητήματα SSL
  • Ενεργοποιημένη μέθοδος HTTP OPTIONS
  • Αποκάλυψη IP διακομιστή
Οριακές περιπτώσεις λογαριασμού και ταυτοποίησης
  • Λήξεις συνεδρίας ταυτοποίησης (οι συνεδρίες είναι δεσμευμένες στο IP με χρονικό όριο 1 ώρας)
  • Επαναχρησιμοποίηση κωδικού 2FA TOTP
  • Απαρίθμηση χρηστών με brute force
  • Ενεργοποίηση 2FA χωρίς επιβεβαίωση email
  • Επαλήθευση κωδικού πρόσβασης κατά την αλλαγή email ή 2FA
  • Πολιτική κωδικού πρόσβασης
  • Οποιαδήποτε επίθεση που απαιτεί πρόσβαση στον υπολογιστή του χρήστη (φυσική ή απομακρυσμένη)
Λογισμικό τρίτων και άσχετο λογισμικό
  • Σφάλματα σε λογισμικό τρίτων
  • Ευπάθειες WordPress
  • Οποιοδήποτε είδος ευπαθειών προγράμματος περιήγησης
  • Παραβίαση παραμέτρων για επεξεργαστές πληρωμών
Λόγω του μεγάλου αριθμού μη έγκυρων αναφορών, δεν θα υπάρχουν απαντήσεις για αναφορές που περιέχουν ευπάθεια που αναφέρεται στις εξαιρέσεις μας.

Πώς να αναφέρετε

Παρακαλούμε στείλτε τα αρχικά σας ευρήματα στο:

[email protected]