Bug Bounty

Нам важно хранить данные пользователей в безопасности, поэтому мы готовы к сотрудничеству с людьми, которые занимаются поиском уязвимостей, и вознаграждать их.

Вознаграждение

Хостинг Украина предоставляет вознаграждение за найденные уязвимости. Минимальная сумма вознаграждения — 50$, максимальная — 500$. Сумма вознаграждения зависит от уровня уязвимости, которая определяется тем, насколько реально использовать уязвимость:

  1. Высокий уровень - до 500$. Доступ к центральной базе данных, доступ к исходному коду, выполнение на центральном сервере произвольных команд, выполнение на сервере хостинга произвольных команд от root-пользователя или доступ к аккаунту без участия владельца аккаунта. 
  2. Средний уровень - до 250$. Атаки, для проведения которых необходимо, чтобы пользователь перешел по определенной ссылке. 
  3. Низкий уровень - до 150$. Потенциальные атаки, которые тяжело совершить или для которых должны совпасть большое количество факторов. Атаки, которые:
    • не приводят к повышению привилегий;
    • не приводят доступу к данным пользователя. 
  4. Все XSS атаки, которые требуют перехода по ссылке, ограничены суммой в 50$

Отчёты

Для увеличения доверия к сторонам процесс подачи отчёта об уязвимости производится по следующему алгоритму:

  1. Пишете на e-mail запрос относительно возможности подачи отчёта. Мы ответим вам, что готовы принять новую уязвимость. Сделаем мы это только в том случае, если у нас нет в работе других уязвимостей. Так как может быть ситуация, что кто-то уже сообщил о той же уязвимости, и получится, что вы прислали уязвимость, а вознаграждение за неё не получите.
  2. После получения согласия проверяете возможность использования уязвимости.
  3. Подаёте только один баг. Не стоит присылать сразу множество багов, так как нередко бывают случаи, когда при закрытии уязвимости она закрывается сразу же и в других местах. Ведь одна строка кода может вызываться из сотни мест в программе.
  4. Мы изучаем степень влияния и реальность эксплуатации уязвимости.
  5. Исправляем баг.
  6. Выплачиваем вознаграждение на PayPal, расчётный счет, карту, счет WebMoney. У нас нет возможности делать выплаты в криптовалютах (Bitcoin и прочих), так как мы их не используем.

Условия

  1. К программе не относятся сторонние разработки, zero-day-уязвимости операционных систем, ошибки в ядрах процессоров и прочие уязвимости, на которые мы повлиять не можем.
  2. Программа распространяется только на сайт ukraine.com.ua, auth.adm.tools и adm.tools.
  3. Не используйте найденную уязвимость для изменения информации или получения несанкционированного доступа к ней. Для тестирования используйте свою учётную запись.
  4. Как можно скорее сообщите нам, если вы нечаянно изменили данные, которые не стоило бы менять. Не просматривайте, не изменяйте и не сохраняйте данные, которые были получены в случае обнаружения уязвимости.
  5. Действуйте с хорошым умыслом, чтобы не нарушать приватность других пользователей, не выводить из строя сервисы.
  6. Действуйте в рамках законодательства.
  7. Вознаграждение получает первый, кто сообщит об уязвимости.
  8. Публикация в интернете уязвимости до её решения может привести к отмене вознаграждения. Мы не будем вести переговоры в ответ на угрозы (например, мы не будем вести переговоры о сумме выплаты под угрозой сокрытия уязвимости или угрозы раскрытия уязвимости или любых открытых данных для общественности).
  9. Скорость обработки багов зависит от критичности багов и загрузки программистов и занимает от 3 до 30 дней.

Уязвимости, за которые не выплачивается вознаграждение

Следующие вопросы выходят за рамки нашей программы вознаграждений:

  1. Наша политика в отношении наличия/отсутствия записей SPF/DMARC.
  2. Политики пароля, электронной почты и учётной записи, такие как проверка идентификатора электронной почты, истечение срока действия ссылки для сброса, сложность пароля.
  3. Отсутствие токенов CSRF (если нет доказательств фактического, конфиденциального действия пользователя, не защищённого токеном).
  4. Вход/выход CSRF.
  5. Атаки, требующие физического доступа к устройству пользователя.
  6. Отсутствуют заголовки безопасности, которые не приводят напрямую к уязвимости.
  7. Отсутствие передовых методов (нам необходимы доказательства уязвимости системы безопасности).
  8. Размещение вредоносного/произвольного контента на хостинге.
  9. Self-XSS (нам нужны доказательства того, как XSS можно использовать для атаки другого пользователя).
  10. Мы будем принимать сообщения об уязвимостях операционной системы и сторонних продуктов, но не будем вознаграждать их.
  11. Инъекции заголовков хоста, если вы не можете показать, как они могут привести к краже пользовательских данных.
  12. Использование заведомо уязвимой библиотеки (без доказательств возможности использования).
  13. Отчёты от автоматических инструментов или сканирований.
  14. Уязвимости, влияющие на пользователей устаревших браузеров или платформ.
  15. Социальная инженерия сотрудников или подрядчиков Хостинга Украина.
  16. Наличие атрибута автозаполнения в веб-формах.
  17. Отсутствуют флаги cookie для нечувствительных файлов cookie.
  18. Отчеты о небезопасных шифрах SSL/TLS (если у вас нет рабочего доказательства концепции, а не только отчёта от сканера).
  19. Любой отчёт, в котором обсуждается, как узнать, имеет ли данное имя пользователя или адрес электронной почты учётную запись на хостинге.
  20. Любой отчёт об обходе наших ограничений на предоставляемые услуги.
  21. Уязвимости, связанные с подменой контента (когда вы можете только вставить текст или изображение на страницу), выходят за рамки. Мы примем и устраним уязвимость, связанную со спуфингом, когда злоумышленник может ввести изображение или форматированный текст (HTML), но это не имеет права на вознаграждение. Внедрение чистого текста выходит за рамки.
  22. Создание нескольких учётных записей с использованием одного и того же адреса электронной почты также выходит за рамки.
  23. Риск фишинга из-за проблем с unicode/punycode или RTLO.
  24. Возможность определить является ли пользователь зарегистрированным на хостинге, если известен его e-mail.
  25. Уязвимость связанную с тем, что мы отключили DMARC. Не является уязвимостью то, что сторонние сервера игнорируют SPF записи и принимают письма от сторонних сервисов (в том числе и gmail). 
  26. Любой вид flood и bruteforce, DOS и DDOS атак на сайт выходит за рамки.
  27. Воровство XSS токена с подменой _return_url ни к чему не приведет, так как в подпись заложен домен указанный в _return_url и работать украденный таким образом токен не будет.
  28. Наличие на GitHub паролей к FTP с адресами *.ftp.ukraine.com.ua относится к уязвимостям наших клиентов. Мы не используем для публикации програмного кода FTP протокол. 
  29. Любые теоритические атаки, которые не срабатывают у нас на сайте.
  30. Атаки при которых атакующий заранее знает логин, пароль и код двухфакторной авторизации.
  31. Атаки при которых атакующий знает логин и пароль от почты, на которую зарегистрирована учетная запись хостинга или имеет доступ к телефону пользователя. 15/07/2021
  32. Атаки при которых у атакующего есть физический доступ к компьютеру жертвы или доступ к управлению компьютером жертвы. 15/07/2021
  33. Атаки при которых жертвой атаки является сам атакующий или для атаки нужен полный доступ к аккаунту на который производится атака (атака самого себя не имеет смысла). 09/08/2021.
  34. Отсутсвие заголовков безопасности COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS... 29/08/2021
  35. Cookie-prefix, SameSiteCookie 29/08/2021
  36. Наличие информации о программном обеспечении, которое используется. 29/08/2021

Заключительные положения

  1. Вы несёте ответственность за уплату любых налогов, связанных с вознаграждениями.
  2. Мы можем изменить условия этой программы или прекратить её в любое время. Мы не будем применять какие-либо изменения, внесенные в эти условия программы, задним числом.
  3. Сотрудники Хостинг Украина и члены их семей не имеют права на вознаграждение.
  4. Хостинг Украина может предоставить вам бесплатный доступ к продуктам. Этот доступ предназначен исключительно для целей тестирования и может быть аннулирован в любое время с предварительным уведомлением или без него.