Bug Bounty

Нам важна захоўваць дадзеныя карыстальнікаў у бяспекі, таму мы гатовыя да супрацоўніцтва з людзьмі, якія займаюцца пошукам уразлівасцяў, і узнагароджваць іх.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Ўзнагароджанне

Хостынг Украіна прадастаўляе ўзнагароджанне за знойдзеныя ўразлівасці. Мінімальная сума ўзнагароджання - 50$, максімальная - 1000$. Сума ўзнагароджання залежыць ад узроўню уразлівасці, якая вызначаецца тым, наколькі рэальна выкарыстоўваць ўразлівасць:

  1. Высокі ўзровень - да 1000$. Доступ да цэнтральнай базы дадзеных, доступ да зыходнага кода, выкананне на цэнтральным серверы адвольных каманд, выкананне на серверы хостынгу адвольных каманд ад root-карыстача.
  2. Сярэдні ўзровень - да 250$. 
  3. Нізкі ўзровень - да 150$. Патэнцыйныя атакі, якія цяжка здзейсніць або для якіх павінны супасці вялікую колькасць фактараў. 
  4. Усе XSS-напады, якія патрабуюць пераходу па спасылцы, абмежаваныя сумай у 50$.
  5. Уразлівасці, знойдзеныя ў alpha- і beta-версіях сэрвісаў, абмежаваныя сумай у 150.$. (29/11/2022)

Справаздачы

Для павышэння даверу да бакоў працэс падачы справаздачы аб уразлівасці вырабляецца па наступным алгарытме:

  1. Пішаце на email запыт адносна магчымасці падачы справаздачы. Мы адкажам вам, што гатовыя прыняць новую ўразлівасць. Зробім мы гэта толькі ў тым выпадку, калі ў нас няма ў працы іншых уразлівасцяў. Бо можа быць сітуацыя, што хто-то ўжо паведаміў пра тую ж уразлівасці, і атрымаецца, што вы даслалі ўразлівасць, а ўзнагарода за яе не атрымаеце.
  2. Пасля атрымання згоды правяраеце магчымасць выкарыстання ўразлівасці.
  3. Падаецца толькі адзін баг. Не варта дасылаць адразу мноства багаў, бо нярэдка бываюць выпадкі, калі пры закрыцці уразлівасці яна зачыняецца адразу ж і ў іншых месцах. Бо адна радок кода можа выклікацца з сотні месцаў у праграме.
  4. Мы вывучаем ступень уплыву і рэальнасць эксплуатацыі ўразлівасці.
  5. Выпраўляем баг.
  6. Выплачваем узнагароду на PayPal, разліковы рахунак ці карту. У нас няма магчымасці рабіць выплаты ў криптовалютах (Bitcoin і іншых), бо мы іх не выкарыстоўваем.

Ўмовы

  1. Да праграмы не адносяцца іншыя распрацоўкі, zero-day-уразлівасці аперацыйных сістэм, памылкі ў ядрах працэсараў і іншыя ўразлівасці, на якія мы паўплываць не можам.
  2. Праграма распаўсюджваецца толькі на створанае намі праграмнае забеспячэнне, якое знаходзіцца на сайтах ukraine.com.ua, auth.adm.tools, webmail.online і adm.tools.
  3. Не выкарыстоўвайце знойдзеную ўразлівасць для змены інфармацыі ці атрымання несанкцыянаванага доступу да яе. Для тэставання выкарыстоўвайце сваю стварыў рахунак.
  4. Як мага хутчэй паведаміце нам, калі вы неспадзявана змянілі дадзеныя, якія не варта было б мяняць. Ня праглядайце, не змяняйце і ня захоўвайце дадзеныя, якія былі атрыманы ў выпадку выяўлення ўразлівасці.
  5. Дзейнічайце з добрым намерам, каб не парушаць прыватнасць іншых карыстальнікаў, не выводзіць са строю сэрвісы.
  6. Дзейнічайце ў рамках заканадаўства.
  7. Ўзнагароджанне атрымлівае першы, хто паведаміць аб уразлівасці.
  8. Публікацыя ў інтэрнэце ўразлівасці да яе рашэння можа прывесці да адмены ўзнагароджання. Мы не будзем весці перамовы ў адказ на пагрозы (напрыклад, мы не будзем весці перамовы аб суме выплаты пад пагрозай ўтойвання ўразлівасці або пагрозы раскрыцця уразлівасці або любых адкрытых дадзеных для грамадскасці).
  9. Хуткасць апрацоўкі багаў залежыць ад крытычнасці багаў і загрузкі праграмістаў і займае ад 3 да 30 дзён.

Уразлівасці, за якія не выплачваецца ўзнагароджанне

Наступныя пытанні выходзяць за рамкі нашай праграмы мінус:

  1. Наша палітыка ў дачыненні да наяўнасці / адсутнасці запісаў SPF / DMARC.
  2. Палітыкі паролю электроннай пошты і маеце рахунку, такія як праверка ідэнтыфікатара электроннай пошты, заканчэнне тэрміну дзеяння спасылкі для скіду, складанасць пароля.
  3. Адсутнасць токенаў CSRF (калі няма доказаў фактычнага, канфідэнцыйнага дзеянні карыстача, не абароненага токенаў).
  4. Напады, якія патрабуюць фізічнага доступу да прылады карыстальніка. А гэтак жа напады, злучаныя з перахопам трафіку. 
  5. Адсутнічаюць загалоўкі бяспекі, якія не прыводзяць наўпрост да ўразлівасці.
  6. Адсутнасць перадавых метадаў (нам неабходныя доказы ўразлівасці сістэмы).
  7. Размяшчэнне шкоднаснага / адвольнага кантэнту на хостынгу.
  8. Любыя напады накіраваныя на самога сябе, напрыклад Self-XSS.
  9. Мы будзем прымаць паведамленні аб уразлівасцях аперацыйнай сістэмы і іншых прадуктаў, але не будзем узнагароджваць іх.
  10. Ін’екцыі загалоўкаў хаста, калі вы не можаце паказаць, як яны могуць прывесці да крадзяжу карыстацкіх дадзеных.
  11. Выкарыстанне заведама ўразлівай бібліятэкі (без доказаў магчымасці выкарыстання).
  12. Справаздачы ад аўтаматычных прылад ці сканаванняў.
  13. Ўразлівасці, якія ўплываюць на карыстальнікаў састарэлых браўзэраў або платформаў.
  14. Сацыяльная інжынерыя супрацоўнікаў або падрадчыкаў Хостынга Украіна.
  15. Наяўнасць атрыбуту аўтазапаўнення ў вэб-формах.
  16. Адсутнічаюць сцягі cookie для неадчувальнасці файлаў cookie.
  17. Справаздачы аб небяспечных шыфрах SSL / TLS (калі ў вас няма працоўнага доказы канцэпцыі, а не толькі справаздачы ад сканэра).
  18. Магчымасць вызначыць, ці з’яўляецца карыстач зарэгістраваным на хостынгу, калі вядомы яго email.
  19. Любы справаздачу аб абыходзе нашых абмежаванняў на якія прадстаўляюцца паслугі.
  20. Уразлівасці, злучаныя з падменай кантэнту (калі вы можаце толькі ўставіць тэкст ці малюнак на старонку) выходзяць за рамкі. Мы прымем і ўстаранім уразлівасць, звязаную са спуфінгам, калі зламыснік можа ўвесці малюнак або фарматаваны тэкст (HTML), але гэта не мае права на ўзнагароду. Укараненне чыстага тэксту выходзіць за рамкі.
  21. Стварэнне некалькіх уліковых запісаў з выкарыстаннем аднаго і таго ж адраса электроннай пошты.
  22. Рызыка фішынгу з-за праблем з unicode / punycode або RTLO.
  23. Уразлівасць, звязаную з тым, што мы адключылі DMARC. Не з’яўляецца ўразлівасцю тое, што іншыя серверы ігнаруюць SPF запісы і прымаюць лісты ад іншых сэрвісаў (у тым ліку і Gmail).
  24. Любы выгляд flood і bruteforce, DoS-і DDoS-нападаў, а таксама нападаў, звязаных са зніжэннем прадукцыйнасці сервера. 
  25. Напады, пры якіх атакавалы мае доступ пошце ці да тэлефона ахвяры.
  26. Адсутнасць загалоўкаў бяспекі COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Наяўнасць інфармацыі аб праграмным забеспячэнні, якое выкарыстоўваецца. Мы хостынг-правайдэр і анансуем інфармацыю аб устаноўленым ПЗ кліентам. Таму гэтая інфармацыя не можа быць засакрэчаная.
  28. Атрыманне IP-адрасу супрацоўніка кампаніі не з’яўляецца ўразлівасцю. Тэхпадтрымка адчыняе спасылкі, на пошту можна адправіць фішынгавую спасылку або SVG-файл і т. д.
  29. Наяўнасць дадзеных EXIF у файлах малюнкаў, якія адпраўляюць карыстачы. Нашы кліенты не публікуюць у нас на сайце свае асабістыя фатаграфіі, у якіх можа змяшчацца EXIF з каштоўнымі каардынатамі.
  30. Загрузка SVG-файлаў. Мы іх захоўваем як укладанні і не адлюстроўваем на сайце. Гэта дазваляе пазбегнуць атрыманні дадзеных з сайта.
  31. Social Engeneering Attacks.
  32. Наяўнасць запісаў CAA у DNS.
  33. ««Сяброўскія атакі», праведзеныя карыстальнікамі, якім ахвяра дала доступ да паслуг. 16/05/2023
  34. Любыя публічныя CVE-, CWE-уразлівасці публічнага праграмнага забеспячэння, сертыфікатаў і т. д.
  35. Напады, якія патрабуюць фізічны доступ да кампутара ахвяры. 26/01/2024

Заключныя палажэнні

  1. Вы несяце адказнасць за выплату любых падаткаў, звязаных з ўзнагародамі.
  2. Мы можам змяніць умовы гэтай праграмы ці спыніць яе ў любы час. Мы не будзем прымяняць якія-небудзь змены, унесеныя ў гэтыя ўмовы праграмы, заднім лікам.
  3. Супрацоўнікі Хостынг Украіна і члены іх сем’яў не маюць права на ўзнагароджанне.
  4. Хостынг Украіна можа даць вам бясплатны доступ да прадуктаў. Гэты доступ прызначаны выключна для мэт тэставання і можа быць ануляваны ў любы час з папярэдніх паведамленнем або без яго.