Bug Bounty

Мы стремимся создать удобный, отзывчивый и безопасный хостинг для ваших серверов. Тем не менее, мы не исключаем того, что вам придётся столкнуться с некоторыми ошибками с нашей стороны. Все мы ошибаемся, не так ли? Но мы будем рады исправиться, а вы можете нам помочь, за что мы вас обязательно отблагодарим.

Ошибки

Мы разделяем ошибки условно на два типа:

  • Обычные баги связаны с какими-либо незначительными недоработками, не представляющими угрозы для безопасности. Сюда входят как недоработки в дизайне, так и нерабочий функционал сайта. За каждый третий подтверждённый баг из этой категории мы наградим вас небольшим бонусом.
  • Критические ошибки дают возможность злоумышленникам получить доступ к данным пользователей или нанести существенный ущерб нам. За сообщения о таких уязвимостях мы награждаем гораздо более щедро.

Обычные баги

Под обычными багами, мы подразумеваем ошибки, не представляющие угрозы для безопасности данных пользователей. Вот некоторые примеры:

  • Нечитабельный текст на странице;
  • Элементы на странице, выходящие за её пределы;
  • Кнопки/ссылки, которые очевидно должны быть кликабельными, однако не выполняющие никаких действий;

и другие.

При этом сюда не входят:

  • Долгие загрузки отдельных элементов или страниц в целом;
  • Ошибки, вызванные временной недоступностью наших систем (например, из-за тех. работ);
  • Ошибки, вызванные изменением кода страниц, не предусмотренным нами (с помощью DevTools, браузерных расширений и т.п.).

Критические ошибки

Здесь подразумеваются ошибки, позволяющие нанести существенный ущерб нам и/или нашим пользователям. При обнаружении таких уязвимостей строго запрещено разглашать информацию о них.

Сюда входят:

  • Удаленное исполнение кода на стороне сервера;
  • Уязвимости в реализации протоколов аутентификации или авторизации;
  • Уязвимости бизнес-логики;
  • CSRF-уязвимости;
  • XSS-уязвимости;

и другие.

При этом сюда не входят сообщения об:

  • Отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем;
  • Отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS;
  • Атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе;
  • Раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.);
  • Ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров;
  • Уязвимостях, которые затрагивают только пользователей с определенными браузерами;
  • Атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия;
  • Атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов;
  • Временных атаках, которые доказывают существование учетной записи пользователя и т.п.;
  • Небезопасных настройках cookie для некритичных cookie;
  • Ошибках в содержании / сервисах, которые не принадлежат или не управляются superhub.host (сюда входят сторонние службы, работающие на субдоменах).

Вознаграждение

В случае с обычными багами мы начисляем 100 рублей на баланс за каждую третью подтверждённую ошибку. Для каждой критической ошибки сумма вознаграждения устанавливается индивидуально.

Условия

Мы можем отказать в выплате вознаграждения, если

  • Были раскрыты сведения об инфраструктуре, интерфейсах и деталях реализации, внутренняя документация, исходный код, данные пользователей и т.п.;
  • Кто-либо раньше сообщил о данной ошибке. Мы выплачиваем вознаграждение только одному человеку, нашедшему баг первым.

Мы принимаем только ошибки, так или иначе связанные с нашими службами, в частности, располагающимися на этих доменах:

  • panel.superhub.host
  • auth.superhub.host
  • pay.superhub.host
  • api.superhub.host
  • superhub.host
  • hosting.superhub.xyz

Если вы обнаружите уязвимость, которая не касается перечисленных выше доменов, мы исследуем ее. В этом случае вознаграждение предоставляется в каждом конкретном случае только для наиболее критических уязвимостей.

Примечание

  • Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записями без разрешения их владельцев;
  • Избегайте нарушения конфиденциальности данных;
  • Не используйте обнаруженную уязвимость для своей собственной выгоды. Сюда входит демонстрация дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости;
  • Не используйте инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы трафика;
  • Не выполняйте атаки, которые могут нанести вред надежности / целостности наших служб или данных (атаки типа «отказ в обслуживании» и другие).

Нашли ошибку?

Чтобы сообщить об ошибке любого типа, напишите нам на bugs@superhub.host письмо в свободной форме, которое содержит информацию об:

  • уязвимых узлах и компонентах;
  • обнаруженной уязвимости и ее влиянии на безопасность;
  • этапы воспроизведения;
  • сценарий атаки;
  • рекомендации по устранению.

Отправлять сообщение следует с той почты, на которую зарегистрирован ваш основной аккаунт на хостинге. Сообщение должно быть написано на русском или английском языке.