Program Bug Bounty

Przegląd

Uważamy bezpieczeństwo naszych systemów za najwyższy priorytet. Żaden system nie jest doskonały i w każdej technologii mogą zawsze istnieć wady. Z niecierpliwością oczekujemy współpracy z wykwalifikowanymi badaczami bezpieczeństwa w celu ochrony naszych klientów.

Jeśli uważasz, że zidentyfikowałeś problem bezpieczeństwa w naszym produkcie lub usłudze, zachęcamy cię do powiadomienia nas.

Wytyczne dotyczące odpowiedzialnego ujawniania

• Powiadom nas jak najszybciej po odkryciu potencjalnego problemu bezpieczeństwa, a dołożymy wszelkich starań, aby szybko go rozwiązać.
• Daj nam rozsądną ilość czasu na rozwiązanie problemu przed jakimkolwiek ujawnieniem publicznym lub stronie trzeciej.
• Brak nieautoryzowanego podszywania się: wszelkie próby manipulacji społecznej poprzez podszywanie się pod pracownika BelHost, innego badacza lub zespół bezpieczeństwa nie będą tolerowane.
• Jeśli spełnisz wszystkie warunki określone w tych wytycznych, nie podejmiemy żadnych działań prawnych przeciwko tobie w związku z twoim zgłoszeniem.
• Twoje zgłoszenie będzie traktowane jako poufne. Nie będziemy udostępniać twoich danych osobowych stronom trzecim bez wcześniejszej zgody, chyba że jest to konieczne do spełnienia obowiązku prawnego.

Nagrody

Aby wyrazić naszą wdzięczność, BelHost oferuje nagrody za zgłoszenia kwalifikujących się luk bezpieczeństwa. Nagrody mogą być przyznawane jako rekompensata finansowa lub towary BelHost. Wysokość nagrody jest według uznania BelHost i opiera się na wewnętrznej ocenie wagi ujawnionej luki. Nagroda zostanie zakomunikowana po weryfikacji przez nasze wewnętrzne zespoły.

Kwalifikowalność

Aby kwalifikować się do nagrody, musisz:

1. Być pierwszym zgłaszającym lukę.
2. Przestrzegać wytycznych opisanych na tej stronie.
3. Nie ujawniać publicznie luki przed naszym rozwiązaniem.
4. Dostarczyć działający proof of concept exploitujący problem bezpieczeństwa.
5. Używać wyłącznie kont własnego autorstwa i nie uzyskiwać dostępu do danych innych użytkowników.
6. Nie być mieszkańcem żadnego kraju wymienionego na liście Specially Designated Nationals and Blocked Persons (SDN).
7. Nie być mieszkańcem żadnego kraju wymienionego na Skonsolidowanej Liście osób, grup i podmiotów objętych finansowymi sankcjami UE.

Bezwzględne wyłączenia

Następujące kategorie są poza zakresem i zazwyczaj nie otrzymają odpowiedzi.

Ataki socjalne i fizyczne

• Inżynieria społeczna (w tym phishing)
• Wszelkie fizyczne próby przeciwko mieniu lub centrom danych BelHost
• Fizyczny atak na infrastrukturę

Testy dostępności i nadużyć

• Odmowa usługi
• Brute forcing
• Raporty z automatycznych narzędzi i skanowań
• Brakujące limity prędkości

Problemy webowe o niskim znaczeniu

• CSRF
• Self-XSS
• Clickjacking i problemy możliwe do wykorzystania tylko przez clickjacking
• Fałszowanie treści na stronach błędów lub wstrzykiwanie tekstu
• Ataki homograficzne
• Otwarte przekierowania
• Słabe CAPTCHA / ominięcie CAPTCHA
• Problemy związane z cache

Tylko wyniki konfiguracji i nagłówków

• Związane z X-Frame-Options
• Brakujące flagi cookie
• Brakujące nagłówki bezpieczeństwa, które nie prowadzą bezpośrednio do luki
• Brak noreferrer, noopener
• Problemy DKIM/SPF/DMARC
• Ujawnienie wersji
• Listowanie katalogów
• Problemy SSL
• Włączona metoda HTTP OPTIONS
• Ujawnienie IP serwera

Przypadki graniczne konta i uwierzytelniania

• Limity czasu sesji uwierzytelniania (sesje są powiązane z IP z limitem czasu 1 godziny)
• Ponowne użycie kodu TOTP 2FA
• Wyliczanie użytkowników przez brute force
• Aktywacja 2FA bez potwierdzenia email
• Weryfikacja hasła przy zmianie email lub 2FA
• Polityka haseł
• Każdy atak wymagający dostępu do komputera użytkownika (fizycznego lub zdalnego)

Oprogramowanie stron trzecich i niezwiązane

• Błędy w oprogramowaniu stron trzecich
• Luki WordPress
• Wszelkiego rodzaju luki przeglądarki
• Manipulacja parametrami dla procesorów płatności

Jak zgłosić

Prosimy o przesłanie wstępnych ustaleń na adres:

[email protected]