Информация 5 días - gratis Estadísticas de descarga de canales Alojamiento gratuito Acción "Cambio de anfitrión"
Hosting.XYZ
Bug Bounty

Para nosotros es importante mantener seguros los datos de los usuarios, por lo que estamos dispuestos a cooperar con las personas que buscan vulnerabilidades y las recompensan.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Recompensa

Alojar Ucrania proporciona una recompensa por las vulnerabilidades encontradas. El monto mínimo de remuneración es 50$, máximo 1000$. El monto de la recompensa depende del nivel de vulnerabilidad, que está determinado por qué tan realista es usar la vulnerabilidad:

  1. Nivel alto — hasta 1000$. Acceso a la base de datos central, acceso al código fuente, ejecución de comandos arbitrarios en el servidor central, ejecución de comandos arbitrarios en el servidor de alojamiento como root.
  2. Nivel medio — hasta 250$. 
  3. Nivel bajo: hasta 150$. Ataques potenciales que son difíciles de realizar o para los cuales deben coincidir una gran cantidad de factores. 
  4. Todos los ataques XSS que requieren seguir un enlace tienen un límite de 50$.
  5. Las vulnerabilidades encontradas en las versiones alfa y beta de los servicios están limitadas a 150$. (29/11/2022)

Informes

Para aumentar la confianza en las partes, el proceso de presentación de un informe de vulnerabilidad se realiza de acuerdo con el siguiente algoritmo:

  1. Escribir a email consulta sobre la posibilidad de presentar un informe. Responderemos que estamos preparados para aceptar la nueva vulnerabilidad. Sólo lo haremos si no tenemos otras vulnerabilidades en trámite. Porque puede darse la situación de que otra persona ya haya informado de la misma vulnerabilidad, y puede resultar que usted haya presentado una vulnerabilidad pero no reciba una recompensa por ello.
  2. Después de obtener el consentimiento, verifica la posibilidad de aprovechar la vulnerabilidad.
  3. Envía sólo un fallo. No deberías enviar muchos fallos a la vez, porque a menudo hay casos en los que al cerrar una vulnerabilidad se cierra en otros lugares a la vez. Después de todo, una línea de código puede ser llamada desde cientos de lugares en un programa.
  4. Estudiamos el impacto y la realidad de explotar la vulnerabilidad.
  5. Arreglamos el error.
  6. Pagamos la remuneración a PayPal, cuenta corriente o tarjeta. No tenemos la capacidad de realizar pagos en criptomonedas (Bitcoin y otras), ya que no las utilizamos.

Condiciones

  1. El programa no incluye desarrollo de terceros, vulnerabilidades del sistema operativo de día cero, errores en los núcleos del procesador y otras vulnerabilidades en las que no podemos influir.
  2. El programa se distribuye únicamente en el software creado por nosotros, que se puede encontrar en los sitios web ukraine.com.ua, auth.adm.tools, webmail.online y adm.tools.
  3. No utilice la vulnerabilidad encontrada para cambiar información u obtener acceso no autorizado a ella. Utilice su cuenta para realizar pruebas.
  4. Háganos saber lo antes posible si ha cambiado inadvertidamente datos que no deberían modificarse. No vea, modifique ni guarde los datos que se obtuvieron en caso de una vulnerabilidad.
  5. Actúe con buenas intenciones para no violar la privacidad de otros usuarios, no desactive los servicios.
  6. Actúe dentro de la ley.
  7. La recompensa es para la primera persona que informa sobre la vulnerabilidad.
  8. La publicación de una vulnerabilidad en Internet antes de su resolución puede resultar en la cancelación de la recompensa. No negociaremos en respuesta a amenazas (por ejemplo, no negociaremos un monto de pago bajo la amenaza de ocultar una vulnerabilidad o de revelar una vulnerabilidad o cualquier divulgación al público).
  9. La velocidad de procesamiento de errores depende de la gravedad de los errores y de la carga de trabajo de los programadores y demora de 3 a 30 días.

Vulnerabilidades por las que no se paga remuneración

Las siguientes preguntas están fuera del alcance de nuestro programa de recompensas:

  1. Nuestra política con respecto a la presencia / ausencia de registros SPF / DMARC.
  2. Políticas de contraseña, correo electrónico y cuenta, como verificación de ID de correo electrónico, restablecimiento de caducidad de enlace, complejidad de contraseña
  3. Falta de tokens CSRF (si no hay evidencia de una acción real y confidencial del usuario que no esté protegida por un token).
  4. Ataques que requieren acceso físico al dispositivo del usuario. Así como ataques relacionados con la interceptación del tráfico. 
  5. No hay encabezados de seguridad que no conduzcan directamente a una vulnerabilidad.
  6. Falta de mejores prácticas (necesitamos evidencia de la vulnerabilidad del sistema).
  7. Colocar contenido malicioso / arbitrario en el alojamiento.
  8. Cualquier ataque dirigido a sí mismo, como Self-XSS.
  9. Aceptaremos informes de vulnerabilidades en el sistema operativo y productos de terceros, pero no los recompensaremos.
  10. Inyecciones de encabezado de host si no puede mostrar cómo pueden conducir al robo de datos del usuario.
  11. Usando una biblioteca vulnerable conocida (sin prueba de uso).
  12. Informes de escaneos o herramientas automatizadas.
  13. Vulnerabilidades que afectan a los usuarios de navegadores o plataformas obsoletos.
  14. Ingeniería social de empleados o contratistas de Hosting Ukraine.
  15. La presencia del atributo de autocompletar en formularios web.
  16. Faltan banderas de cookies para cookies insensibles.
  17. Informes de cifrados SSL / TLS inseguros (a menos que tenga una prueba de concepto funcional, no solo un informe de un escáner).
  18. La posibilidad de determinar si el usuario está registrado en el hosting, si se conoce su correo electrónico.
  19. Cualquier informe sobre elusión de nuestras restricciones de servicio.
  20. Las vulnerabilidades de suplantación de contenido (cuando solo puede insertar texto o una imagen en una página) están fuera del alcance. Aceptaremos y corregiremos una vulnerabilidad de suplantación de identidad en la que un atacante puede ingresar una imagen o texto enriquecido (HTML) pero no es elegible para una recompensa. La introducción de texto puro está fuera del alcance.
  21. Cree varias cuentas con la misma dirección de correo electrónico.
  22. Riesgo de phishing debido a problemas de Unicode / punycode o RTLO.
  23. Vulnerabilidad debido al hecho de que deshabilitamos DMARC. No es una vulnerabilidad que los servidores de terceros ignoren los registros SPF y acepten correos electrónicos de servicios de terceros (incluido Gmail).
  24. Cualquier tipo de inundación y ataques de fuerza bruta, DoS y DDoS, así como ataques relacionados con la disminución del rendimiento del servidor. 
  25. Ataques en los que el atacante tiene acceso al correo electrónico o teléfono de la víctima.
  26. Faltan encabezados de seguridad COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Disponibilidad de información sobre el software que se utiliza. Somos un proveedor de alojamiento y anunciamos información sobre el software instalado a los clientes. Por lo tanto, esta información no puede ser clasificada.
  28. Obtener la dirección IP de un empleado de la empresa no es una vulnerabilidad. El soporte técnico abre enlaces, puede enviar un enlace de phishing o un archivo SVG al correo, etc.
  29. La presencia de datos EXIF en los archivos de imagen que envían los usuarios. Nuestros clientes no publican sus fotos personales en nuestro sitio, que pueden contener EXIF con coordenadas valiosas.
  30. Cargando archivos SVG. Los guardamos como archivos adjuntos y no los mostramos en el sitio. Esto evita obtener datos del sitio.
  31. Social Engeneering Attacks.
  32. Presencia de registros CAA en DNS.
  33. «Ataques amistosos», gastados por los usuarios a los que la víctima dio acceso a los servicios. 16/05/2023
  34. Cualquier CVE público, vulnerabilidades CWE de software público, certificados, etc.
  35. Ataques que requieren acceso físico al ordenador de la víctima. 26/01/2024

Provisiones finales

  1. Usted es responsable de pagar los impuestos relacionados con los premios.
  2. Podemos cambiar los términos de este programa o cancelarlo en cualquier momento. No aplicaremos ningún cambio realizado a estos términos del programa de forma retroactiva.
  3. Los empleados de Hosting Ukraine y sus familiares no son elegibles para recibir una remuneración.
  4. Hosting Ukraine puede proporcionarle acceso gratuito a los productos. Este acceso es solo para fines de prueba y puede ser revocado en cualquier momento con o sin previo aviso.