Program Bug Bounty

Prezentare generală

Considerăm securitatea sistemelor noastre o prioritate majoră. Niciun sistem nu este perfect și pot exista întotdeauna vulnerabilități în orice tehnologie. Dorim să colaborăm cu cercetători de securitate competenți pentru a ne proteja clienții.

Dacă consideri că ai identificat o problemă de securitate în produsul sau serviciul nostru, te încurajăm să ne notifici.

Ghid pentru responsible disclosure

• Anunță-ne cât mai curând posibil după descoperirea unei potențiale probleme de securitate, iar noi vom face tot posibilul să o rezolvăm rapid.
• Acordă-ne un interval rezonabil pentru rezolvarea problemei înainte de orice divulgare publică sau către terți.
• Fără uzurpare de identitate neautorizată: orice încercare de a manipula social o altă parte prin impersonarea unui angajat BelHost, a altui cercetător sau a unei echipe de securitate nu va fi tolerată.
• Dacă respecți toate condițiile stabilite în acest ghid, nu vom iniția nicio acțiune legală împotriva ta în legătură cu raportul tău.
• Raportul tău va fi păstrat confidențial. Nu vom partaja informațiile tale personale cu terți fără consimțământul prealabil, cu excepția cazurilor necesare pentru respectarea unei obligații legale.

Recompense

Ca semn de apreciere, BelHost oferă recompense pentru rapoartele privind vulnerabilități de securitate eligibile. Recompensele pot fi acordate sub formă de compensație financiară sau produse BelHost. Valoarea recompensei este stabilită de BelHost și se bazează pe clasificarea internă a severității vulnerabilității raportate. Recompensa va fi comunicată după validarea de către echipele noastre interne.

Eligibilitate

Pentru a te califica pentru o recompensă, trebuie să:

1. Fii primul care raportează vulnerabilitatea.
2. Urmezi ghidul descris pe această pagină.
3. Nu divulgi public vulnerabilitatea înainte de rezolvarea noastră.
4. Furnizezi un proof of concept funcțional care exploatează problema de securitate.
5. Folosești exclusiv conturi create de tine și nu accesezi datele altor utilizatori.
6. Nu fii rezident al unei țări incluse pe lista Specially Designated Nationals and Blocked Persons (SDN).
7. Nu fii rezident al unei țări incluse pe Consolidated List a persoanelor, grupurilor și entităților supuse sancțiunilor financiare ale UE.

Excluderi absolute

Următoarele categorii sunt în afara domeniului de aplicare și, în general, nu vor primi răspuns.

Atacuri sociale și fizice

• Social engineering (including phishing)
• Orice încercări fizice împotriva proprietății BelHost sau a data centerelor
• Atac fizic asupra infrastructurii

Testare de disponibilitate și abuz

• Denial of service
• Brute forcing
• Rapoarte provenite din unelte automate și scanări
• Missing rate limits

Low-signal web issues

• CSRF
• Self-XSS
• Clickjacking și probleme exploatabile doar prin clickjacking
• Content spoofing on error pages or text injection
• Homograph attacks
• Open redirects
• Weak CAPTCHA / CAPTCHA bypass
• Cache-related issues

Constatări privind configurarea și headerele

• X-Frame-Options related
• Missing cookie flags
• Headere de securitate lipsă care nu conduc direct la o vulnerabilitate
• Missing noreferrer, noopener
• DKIM/SPF/DMARC issues
• Version exposure
• Directory listing
• SSL issues
• OPTIONS HTTP method enabled
• Dezvăluirea IP-ului serverului

Cazuri-limită de cont și autentificare

• Timeout-uri pentru sesiunile de autentificare (sesiunile sunt legate de IP, cu timeout de 1 oră)
• 2FA TOTP code reuse
• User enumeration by brute force
• 2FA activation without email confirmation
• Password verification on email change or 2FA
• Password policy
• Orice atac care necesită acces la computerul utilizatorului (fizic sau remote)

Software terț și fără legătură

• Bugs in third-party software
• WordPress vulnerabilities
• Any kind of browser vulnerabilities
• Manipularea parametrilor pentru procesatorii de plăți

Cum raportezi

Te rugăm să trimiți constatările inițiale la:

[email protected]