Bug Bounty

Нам важливо зберігати дані користувачів в безпеці, тому ми готові до співпраці з людьми, які займаються пошуком вразливостей, і винагороджувати їх.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Винагорода

Хостинг Україна надає винагороду за знайдені вразливості. Мінімальна сума винагороди — 50$, максимальна — 1000$. Сума винагороди залежить від рівня вразливості, яка визначається тим, наскільки реально використовувати уразливість:

  1. Високий рівень — до 1000$. Доступ до центральної бази даних, доступ до вихідного коду, виконання на центральному сервері довільних команд, на сервері хостингу довільних команд від root-користувача.
  2. Середній рівень — до 250$. 
  3. Низький рівень — до 150$. Потенційні атаки, які важко зробити або для яких мають збігатися велика кількість факторів. 
  4. Усі XSS-атаки, які вимагають переходу за посиланням, обмежені сумою 50$.
  5. Уразливості, знайдені в alpha- та beta-версіях сервісів, обмежені сумою 150$. (29/11/2022)

Звіти

Для підвищення довіри до сторін процес подання звіту про вразливість провадиться за наступним алгоритмом:

  1. Пишете на email запит щодо можливості подачі звіту. Ми відповімо вам, що готові прийняти нову вразливість. Зробимо ми це тільки в тому випадку, якщо у нас немає в роботі інших вразливостей. Так як може бути ситуація, що хтось уже повідомив про ту ж уразливості, і вийде, що ви прислали вразливість, а винагорода за неї не отримаєте.
  2. Після отримання згоди перевіряєте можливість використання уразливості.
  3. Подаєте тільки один баг. Не варто надсилати відразу безліч багів, так як нерідко бувають випадки, коли при закритті уразливості вона закривається відразу ж і в інших місцях. Адже один рядок коду може викликатися з сотні місць в програмі.
  4. Ми вивчаємо ступінь впливу і реальність експлуатації уразливості.
  5. Виправляємо баг.
  6. Виплачуємо винагороду на PayPal, розрахунковий рахунок чи картку. У нас немає можливості робити виплати в криптовалютах (Bitcoin та інших), оскільки ми їх не використовуємо.

Умови

  1. До програми не належать сторонні розробки, zero-day-вразливості операційних систем, помилки в ядрах процесорів і інші уразливості, на які ми вплинути не можемо.
  2. Програма поширюється лише на створене нами програмне забезпечення, яке знаходиться на сайтах ukraine.com.ua, auth.adm.tools, webmail.online та adm.tools.
  3. Не використовуйте знайдену уразливість для зміни інформації або отримання несанкціонованого доступу до неї. Для тестування використовуйте свій обліковий запис.
  4. Якомога швидше повідомте нам, якщо ви ненароком змінили дані, які не варто було б міняти. Не шукайте, не змінюйте і не зберігайте дані, які були отримані в разі виявлення уразливості.
  5. Дійте з гарним наміром, щоб не порушувати приватність інших користувачів, не виводити з ладу послуги.
  6. Дійте в рамках законодавства.
  7. Винагорода отримує перший, хто повідомить про уразливість.
  8. Публікація в інтернеті уразливості до її вирішення може привести до скасування винагороди. Ми не будемо вести переговори у відповідь на загрози (наприклад, ми не будемо вести переговори про суму виплати під загрозою приховування вразливості або загрози розкриття уразливості або будь-яких відкритих даних для громадськості).
  9. Швидкість обробки багів залежить від критичності багів і завантаження програмістів і займає від 3 до 30 днів.

Уразливості, за які не виплачується винагорода

Наступні питання виходять за рамки нашої програми винагород:

  1. Наша політика щодо наявності / відсутності записів SPF / DMARC.
  2. Політики пароля, електронної пошти та облікового запису, такі як перевірка ідентифікатора електронної пошти, закінчення строку дії посилання для скидання, складність пароля.
  3. Відсутність токенов CSRF (якщо немає доказів фактичного, конфіденційного дії користувача, що не захищеного токеном).
  4. Атаки, що потребують фізичного доступу до пристрою користувача. А також атаки, пов’язані з перехопленням трафіку. 
  5. Відсутні заголовки безпеки, які не призводять безпосередньо до уразливості.
  6. Відсутність передових методів (нам необхідні докази вразливості системи).
  7. Розміщення шкідливого / довільного контенту на хостингу.
  8. Будь-які атаки спрямовані на себе, наприклад Self-XSS.
  9. Ми будемо приймати повідомлення про уразливість операційної системи і сторонніх продуктів, але не будемо винагороджувати їх.
  10. Ін’єкції заголовків хоста, якщо ви не можете показати, як вони можуть призвести до крадіжки даних користувача.
  11. Використання завідомо вразливою бібліотеки (без доказів можливості використання).
  12. Звіти від автоматичних інструментів або сканувань.
  13. Уразливості, що впливають на користувачів застарілих браузерів або платформ.
  14. Соціальна інженерія співробітників або підрядників Хостингу Україна.
  15. Наявність атрибута автозаповнення в веб-формах.
  16. Відсутні прапори cookie для нечутливих файлів cookie.
  17. Звіти про небезпечні шифри SSL / TLS (якщо у вас немає робочого докази концепції, а не тільки звіту від сканера).
  18. Можливість визначити, чи користувач зареєстрований на хостингу, якщо відомий його email.
  19. Будь-звіт про обхід наших обмежень на послуги, що надаються.
  20. Вразливості, пов’язані з заміною контенту (коли ви можете лише вставити текст або зображення на сторінку) виходять за межі. Ми приймемо та усунемо вразливість, пов’язану зі спуфінгом, коли зловмисник може ввести зображення або форматований текст (HTML), але це не має права на винагороду. Використання чистого тексту виходить за межі.
  21. Створення кількох облікових записів за допомогою однієї й тієї ж адреси електронної пошти.
  22. Ризик фішингу через проблеми з unicode / punycode або RTLO.
  23. Вразливість, пов’язану з тим, що ми вимкнули DMARC. Не є вразливістю те, що сторонні сервери ігнорують записи SPF і приймають листи від сторонніх сервісів (зокрема і Gmail).
  24. Будь-який вид flood і bruteforce, DoS-і DDoS-атак, а також атак, пов’язаних зі зниженням продуктивності сервера. 
  25. Атаки, за яких атакуючий має доступ поштою або до телефону жертви.
  26. Відсутність заголовків безпеки COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Наявність інформації про програмне забезпечення, що використовується. Ми хостинг-провайдер та анонсуємо інформацію про встановлене ПЗ клієнтам. Тому ця інформація не може бути засекречена.
  28. Отримання IP-адреси співробітника компанії не є вразливим. Техпідтримка відкриває посилання, на пошту можна надіслати фішингове посилання або SVG-файл і т.д.
  29. Наявність даних EXIF у файлах зображень, які надсилають користувачі. Наші клієнти не публікують у нас на сайті свої особисті фотографії, в яких може бути EXIF з цінними координатами.
  30. Завантаження файлів SVG. Ми їх зберігаємо як вкладення та не відображаємо на сайті. Це дозволяє уникнути отримання даних із сайту.
  31. Social Engeneering Attacks.
  32. Наявність записів CAA у DNS.
  33. «"Дружні атаки", проведені користувачами, яким жертва надала доступ до послуг. 16/05/2023
  34. Будь-які публічні CVE-, CWE-уразливості публічного програмного забезпечення, сертифікатів і т.д.
  35. Атаки, що вимагають фізичного доступу до комп'ютера жертви. 26/01/2024

Заключні положення

  1. Ви несете відповідальність за сплату будь-яких податків, пов’язаних з винагородами.
  2. Ми можемо змінити умови цієї програми або припинити її будь-коли. Ми не будемо застосовувати жодних змін, внесених у ці умови програми, заднім числом.
  3. Співробітники Хостинг Україна і члени їх сімей не мають права на винагороду.
  4. Хостинг Україна може надати вам безкоштовний доступ до продуктів. Цей доступ призначений виключно для цілей тестування і може бути анульований в будь-який час з попереднім повідомленням або без нього.