5 dias - grátis Estatísticas de download do canal Hospedagem grátis Ação "Mudança de anfitrião"

É importante para nós manter os dados do usuário seguros, por isso estamos prontos para cooperar com as pessoas que procuram vulnerabilidades e as recompensam.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Recompensa

Hospedar a Ucrânia oferece uma recompensa pelas vulnerabilidades encontradas. O valor mínimo de remuneração é 50$, máximo 1000$. O valor da recompensa depende do nível de vulnerabilidade, que é determinado pelo quão realista é usar a vulnerabilidade:

  1. Nível elevado — até 1000$. Acesso ao banco de dados central, acesso ao código-fonte, execução de comandos arbitrários no servidor central, execução de comandos arbitrários no servidor de hospedagem como root.
  2. Nível médio — até 250$. 
  3. Nível baixo — até 150$. Ataques potenciais que são difíceis de fazer ou para os quais um grande número de fatores deve corresponder. 
  4. Todos os ataques XSS que exigem seguir um link são limitados a 50$.
  5. As vulnerabilidades encontradas nas versões alfa e beta dos serviços são limitadas a 150$. (29/11/2022)

Relatórios

Para aumentar a confiança nas partes, o processo de apresentação de um relatório de vulnerabilidade é realizado de acordo com o seguinte algoritmo:

  1. Escrever para email pergunta sobre a possibilidade de apresentar uma denúncia. Responderemos que estamos prontos para aceitar a nova vulnerabilidade. Só o faremos se não tivermos outras vulnerabilidades em curso. Porque pode haver uma situação em que outra pessoa já tenha relatado a mesma vulnerabilidade, e pode acontecer que tenha apresentado uma vulnerabilidade mas não receba uma recompensa por isso.
  2. Após obter consentimento, você verifica a possibilidade de explorar a vulnerabilidade.
  3. Submeter apenas um bug. Não deve submeter muitos bugs de uma só vez, porque muitas vezes há casos em que o fecho de uma vulnerabilidade a fecha noutros sítios ao mesmo tempo. Afinal de contas, uma linha de código pode ser chamada a partir de centenas de sítios num programa.
  4. Estudamos o impacto e a realidade da exploração da vulnerabilidade.
  5. Nós corrigimos o bug.
  6. Pagamos remuneração ao PayPal, conta corrente ou cartão. Não temos a capacidade de efetuar pagamentos em criptomoedas (Bitcoin e outras), pois não as utilizamos.

Condições

  1. O programa não inclui desenvolvimento de terceiros, vulnerabilidades do sistema operacional de dia zero, erros nos núcleos do processador e outras vulnerabilidades que não podemos influenciar.
  2. O programa é distribuído apenas no software criado por nós, que pode ser encontrado nos sítios Web ukraine.com.ua, auth.adm.tools, webmail.online e adm.tools.
  3. Não use a vulnerabilidade encontrada para alterar informações ou obter acesso não autorizado a elas. Use sua conta para teste.
  4. Informe-nos o mais rápido possível se você alterou inadvertidamente dados que não deveriam ser alterados. Não visualize, modifique ou salve dados obtidos no caso de uma vulnerabilidade.
  5. Aja com boa intenção para não violar a privacidade de outros usuários, não desabilite os serviços.
  6. Aja dentro da lei.
  7. A recompensa vai para a primeira pessoa a relatar a vulnerabilidade.
  8. A publicação de uma vulnerabilidade na Internet antes de sua resolução pode resultar no cancelamento da recompensa Não negociaremos em resposta a ameaças (por exemplo, não negociaremos um valor de pagamento sob a ameaça de ocultar uma vulnerabilidade ou de divulgar uma vulnerabilidade ou qualquer divulgação ao público).
  9. A velocidade de processamento de bugs depende da gravidade dos bugs e da carga de trabalho dos programadores e leva de 3 a 30 dias.

Vulnerabilidades para as quais nenhuma remuneração é paga

As perguntas a seguir estão fora do escopo de nosso programa de recompensas:

  1. Nossa política em relação à presença / ausência de registros SPF / DMARC.
  2. Políticas de senha, e-mail e conta, como verificação de ID de e-mail, expiração de link de redefinição, complexidade de senha.
  3. Falta de tokens CSRF (se não houver evidência de uma ação real e confidencial do usuário que não seja protegida por um token).
  4. Ataques que exigem acesso físico ao dispositivo do usuário. Assim como ataques relacionados à interceptação de tráfego. 
  5. Não há cabeçalhos de segurança que não levem diretamente a uma vulnerabilidade.
  6. Falta de melhores práticas (precisamos de evidências de vulnerabilidade do sistema).
  7. Colocar conteúdo malicioso / arbitrário na hospedagem.
  8. Quaisquer ataques direcionados a si mesmo, como Self-XSS.
  9. Aceitaremos relatórios de vulnerabilidades no sistema operacional e em produtos de terceiros, mas não os recompensaremos.
  10. Injeções de cabeçalho de host se você não puder mostrar como elas podem levar ao roubo de dados do usuário.
  11. Usando uma biblioteca vulnerável conhecida (sem prova de uso).
  12. Relatórios de ferramentas automatizadas ou varreduras.
  13. Vulnerabilidades que afetam usuários de navegadores ou plataformas desatualizados.
  14. Engenharia social de funcionários ou contratados da Hosting Ukraine.
  15. A presença do atributo autocomplete em formulários da web.
  16. Sinalizadores de cookies ausentes para cookies insensíveis.
  17. Relatórios de cifras SSL / TLS inseguras (a menos que você tenha uma prova de conceito funcional, não apenas um relatório de um scanner).
  18. A capacidade de determinar se o usuário está registrado na hospedagem, se seu e-mail for conhecido.
  19. Qualquer relatório sobre evasão de nossas restrições de serviço.
  20. As vulnerabilidades de falsificação de conteúdo (quando você só pode inserir texto ou imagem em uma página) estão fora do escopo. Aceitaremos e corrigiremos uma vulnerabilidade de falsificação em que um invasor pode inserir uma imagem ou rich text (HTML), mas não é elegível para uma recompensa. A introdução de texto puro está fora do escopo.
  21. Crie várias contas usando o mesmo endereço de e-mail.
  22. Risco de phishing devido a problemas unicode / punycode ou RTLO.
  23. Vulnerabilidade devido ao fato de termos desabilitado o DMARC. Não é uma vulnerabilidade que servidores de terceiros ignorem registros SPF e aceitem e-mails de serviços de terceiros (incluindo Gmail).
  24. Qualquer tipo de inundação e força bruta, ataques DoS e DDoS, bem como ataques relacionados à diminuição do desempenho do servidor. 
  25. Ataques em que o invasor tem acesso ao e-mail ou telefone da vítima.
  26. Cabeçalhos de segurança ausentes COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Disponibilidade de informações sobre o software utilizado. Somos um provedor de hospedagem e anunciamos informações sobre o software instalado para os clientes. Portanto, essas informações não podem ser classificadas.
  28. Obter o endereço IP de um funcionário da empresa não é uma vulnerabilidade. O suporte técnico abre links, você pode enviar um link de phishing ou um arquivo SVG para o correio, etc.
  29. A presença de dados EXIF em arquivos de imagem que os usuários enviam. Nossos clientes não publicam suas fotos pessoais em nosso site, que podem conter EXIF com coordenadas valiosas.
  30. Carregando arquivos SVG. Nós os salvamos como anexos e não os exibimos no site. Isso evita a obtenção de dados do site.
  31. Social Engeneering Attacks.
  32. Presença de registros CAA no DNS.
  33. «Ataques amigáveis», gastos pelos utilizadores a quem a vítima deu acesso aos serviços. 16/05/2023
  34. Qualquer CVE público, vulnerabilidades CWE de software público, certificados, etc.
  35. Ataques que requerem acesso físico ao computador da vítima. 26/01/2024

Disposições finais

  1. Você é responsável por pagar todos os impostos relacionados aos prêmios.
  2. Podemos alterar os termos deste programa ou encerrá-lo a qualquer momento. Não aplicaremos retroativamente quaisquer alterações feitas a estes termos do programa.
  3. Os funcionários da Hosting Ukraine e seus familiares não têm direito a remuneração.
  4. A Hosting Ukraine pode fornecer acesso gratuito aos produtos. Este acesso é apenas para fins de teste e pode ser revogado a qualquer momento com ou sem aviso prévio.