5 дней - бесплатно Статистика загрузки каналов Бесплатный хостинг Акция "Смена хостера"

Нам важно хранить данные пользователей в безопасности, поэтому мы готовы к сотрудничеству с людьми, которые занимаются поиском уязвимостей, и вознаграждать их.

Вознаграждение

Хостинг Украина предоставляет вознаграждение за найденные уязвимости. Минимальная сумма вознаграждения — 50$, максимальная — 1000$. Сумма вознаграждения зависит от уровня уязвимости, которая определяется тем, насколько реально использовать уязвимость:

  1. Высокий уровень — до 1000$. Доступ к центральной базе данных, доступ к исходному коду, выполнение на центральном сервере произвольных команд, выполнение на сервере хостинга произвольных команд от root-пользователя.
  2. Средний уровень — до 250$. 
  3. Низкий уровень — до 150$. Потенциальные атаки, которые тяжело совершить или для которых должны совпасть большое количество факторов. 
  4. Все XSS-атаки, которые требуют перехода по ссылке, ограничены суммой в 50$.
  5. Уязвимости, найденные в alpha- и beta-версиях сервисов, ограничены суммой в 150$. (29/11/2022)

Отчёты

Для повышения доверия к сторонам процесс подачи отчёта об уязвимости производится по следующему алгоритму:

  1. Пишете на email запрос относительно возможности подачи отчёта. Мы ответим вам, что готовы принять новую уязвимость. Сделаем мы это только в том случае, если у нас нет в работе других уязвимостей. Так как может быть ситуация, что кто-то уже сообщил о той же уязвимости, и получится, что вы прислали уязвимость, а вознаграждение за неё не получите.
  2. После получения согласия проверяете возможность использования уязвимости.
  3. Подаёте только один баг. Не стоит присылать сразу множество багов, так как нередко бывают случаи, когда при закрытии уязвимости она закрывается сразу же и в других местах. Ведь одна строка кода может вызываться из сотни мест в программе.
  4. Мы изучаем степень влияния и реальность эксплуатации уязвимости.
  5. Исправляем баг.
  6. Выплачиваем вознаграждение на PayPal, расчётный счёт или карту. У нас нет возможности делать выплаты в криптовалютах (Bitcoin и прочих), так как мы их не используем.

Условия

  1. К программе не относятся сторонние разработки, zero-day-уязвимости операционных систем, ошибки в ядрах процессоров и прочие уязвимости, на которые мы повлиять не можем.
  2. Программа распространяется только на созданное нами программное обеспечение, которое находится на сайтах ukraine.com.ua, auth.adm.tools, webmail.online и adm.tools.
  3. Не используйте найденную уязвимость для изменения информации или получения несанкционированного доступа к ней. Для тестирования используйте свою учётную запись.
  4. Как можно скорее сообщите нам, если вы нечаянно изменили данные, которые не стоило бы менять. Не просматривайте, не изменяйте и не сохраняйте данные, которые были получены в случае обнаружения уязвимости.
  5. Действуйте с хорошим умыслом, чтобы не нарушать приватность других пользователей, не выводить из строя сервисы.
  6. Действуйте в рамках законодательства.
  7. Вознаграждение получает первый, кто сообщит об уязвимости.
  8. Публикация в интернете уязвимости до её решения может привести к отмене вознаграждения. Мы не будем вести переговоры в ответ на угрозы (например, мы не будем вести переговоры о сумме выплаты под угрозой сокрытия уязвимости или угрозы раскрытия уязвимости или любых открытых данных для общественности).
  9. Скорость обработки багов зависит от критичности багов и загрузки программистов и занимает до 30 дней.

Уязвимости, за которые не выплачивается вознаграждение

Следующие вопросы выходят за рамки нашей программы вознаграждений:

  1. Наша политика в отношении наличия/отсутствия записей SPF/DMARC.
  2. Политики пароля, электронной почты и учётной записи, такие как проверка идентификатора электронной почты, истечение срока действия ссылки для сброса, сложность пароля.
  3. Отсутствие токенов CSRF (если нет доказательств фактического, конфиденциального действия пользователя, не защищённого токеном).
  4. Атаки, требующие физического доступа к устройству пользователя. А так же атаки, связанные с перехватом трафика. 
  5. Отсутствуют заголовки безопасности, которые не приводят напрямую к уязвимости.
  6. Отсутствие передовых методов (нам необходимы доказательства уязвимости системы).
  7. Размещение вредоносного/произвольного контента на хостинге.
  8. Любые атаки направленные на самого себя, например Self-XSS.
  9. Мы будем принимать сообщения об уязвимостях операционной системы и сторонних продуктов, но не будем вознаграждать их.
  10. Инъекции заголовков хоста, если вы не можете показать, как они могут привести к краже пользовательских данных.
  11. Использование заведомо уязвимой библиотеки (без доказательств возможности использования).
  12. Отчёты от автоматических инструментов или сканирований.
  13. Уязвимости, влияющие на пользователей устаревших браузеров или платформ.
  14. Социальная инженерия сотрудников или подрядчиков Хостинга Украина.
  15. Наличие атрибута автозаполнения в веб-формах.
  16. Отсутствуют флаги cookie для нечувствительных файлов cookie.
  17. Отчеты о небезопасных шифрах SSL/TLS (если у вас нет рабочего доказательства концепции, а не только отчёта от сканера).
  18. Возможность определить, является ли пользователь зарегистрированным на хостинге, если известен его email.
  19. Любой отчёт об обходе наших ограничений на предоставляемые услуги.
  20. Уязвимости, связанные с подменой контента (когда вы можете только вставить текст или изображение на страницу) выходят за рамки. Мы примем и устраним уязвимость, связанную со спуфингом, когда злоумышленник может ввести изображение или форматированный текст (HTML), но это не имеет права на вознаграждение. Внедрение чистого текста выходит за рамки.
  21. Создание нескольких учётных записей с использованием одного и того же адреса электронной почты.
  22. Риск фишинга из-за проблем с unicode/punycode или RTLO.
  23. Уязвимость, связанную с тем, что мы отключили DMARC. Не является уязвимостью то, что сторонние сервера игнорируют SPF записи и принимают письма от сторонних сервисов (в том числе и Gmail).
  24. Любой вид flood и bruteforce, DoS- и DDoS-атак, а также атак, связанных со снижением производительности сервера. 
  25. Атаки, при которых атакующий имеет доступ почте или к телефону жертвы.
  26. Отсутсвие заголовков безопасности COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Наличие информации о программном обеспечении, которое используется. Мы хостинг-провайдер и анонсируем информацию об установленном ПО клиентам. Поэтому эта информация не может быть засекречена.
  28. Получение IP-адреса сотрудника компании не является уязвимостью. Техподдержка открывает ссылки, на почту можно отправить фишинговую ссылку или SVG-файл и т. д.
  29. Наличие данных EXIF в файлах изображений, которые отправляют пользователи. Наши клиенты не публикуют у нас на сайте свои личные фотографии, в которых может содержаться EXIF с ценными координатами.
  30. Загрузка SVG-файлов. Мы их сохраняем как вложения и не отображаем на сайте. Это позволяет избежать получения данных с сайта.
  31. Social Engeneering Attacks.
  32. Наличие записей CAA в DNS.
  33. «Дружеские атаки», проведённые пользователями, которым жертва предоставила доступ к услугам.
  34. Любые публичные CVE-, CWE-уязвимости публичного программного обеспечения, сертификатов и т. д.
  35. Атаки, требующие физический доступ к компьютеру жертвы.

Заключительные положения

  1. Вы несёте ответственность за уплату любых налогов, связанных с вознаграждениями.
  2. Мы можем изменить условия этой программы или прекратить её в любое время. Мы не будем применять какие-либо изменения, внесённые в эти условия программы, задним числом.
  3. Сотрудники Хостинг Украина и члены их семей не имеют права на вознаграждение.
  4. Хостинг Украина может предоставить вам бесплатный доступ к продуктам. Этот доступ предназначен исключительно для целей тестирования и может быть аннулирован в любое время с предварительным уведомлением или без него.