HOSTINGER РОССИЯ

ПОЛИТИКА ОТВЕТСТВЕННОГО РАСКРЫТИЯ УЯЗВИМОСТЕЙ И ПРОГРАММА ПООЩРЕНИЯ ЗА ОБНАРУЖЕНИЕ ОШИБОК


Последняя редакция: 2018-08-17 14:48

ПОЛИТИКА ОТВЕТСТВЕННОГО РАСКРЫТИЯ УЯЗВИМОСТЕЙ:

Hostinger Россия поощряет ответственное раскрытие уязвимостей в безопасности наших сервисов и веб-сайта. Для облегчения ответственного раскрытия уязвимостей в безопасности, мы соглашаемся с тем, что Hostinger Россия, по своему собственному усмотрению и при условии, что конкретный случай соответствует Программе поощрения за обнаружение ошибок, не будет предпринимать никаких частных юридических или судебных действий против стороны, заявившей об уязвимости.

ПРОГРАММА ПООЩРЕНИЯ ЗА ОБНАРУЖЕНИЕ ОШИБОК

Hostinger Россия предлагает денежные вознаграждения за ответственное раскрытие некоторых важных уязвимостей системы безопасности. Наша программа поощрения работает следующим образом

УСЛУГИ, ВХОДЯЩИЕ В ПРОГРАММУ:

Только веб-услуги www.hostinger.ru учитываются Программой поощрений за обнаружение ошибок Hostinger Россия.

УЯЗВИМОСТИ, ВХОДЯЩИЕ В ПРОГРАММУ:

Hostinger Россия рассматривает отчеты о любой уязвимости, которая существенно влияет на конфиденциальность или целостность любой соответствующей услуги компании. Допустимые уязвимости включают, среди прочего, следующее:

  1. Недостатки процедуры аутентификации и авторизации
  2. Удаленное выполнение кода
  3. SQL-инъекции
  4. Обход каталога
  5. Повышение уровня полномочий

УЯЗВИМОСТИ, НЕ ВХОДЯЩИЕ В ПРОГРАММУ:

Любой домен, не являющийся частью www.hostinger.ru, не попадает в сферу действия Программы поощрения, равно как и все материалы, размещенные на Сайте клиентами, сторонние программы и плагины.

Следующие действия не соответствуют Программе поощрения и не должны рассматриваться участвующими в ней исследователями:

  1. DoS («отказ в обслуживании»), взлом паролей, нумерация пользователей, DDoS-атаки
  2. Межсайтовое выполнение сценариев (XSS)
  3. Подделка межсайтовых запросов (CSRF)
  4. Кликджекинг
  5. Физические атаки
  6. Фишинговые атаки
  7. Любые ошибки, основанные на социальной инженерии
  8. CRIME (эксплойт против cookie-файлов)/BEAST (эксплоит браузера, связанный с протоколом SSL/TLS)
  9. CSRF-атаки через выход из системы
  10. Раскрытие информации через баннеры и при смене версий программ
  11. Недостающие SPF записи
  12. Листинг каталогов (с целью обнаружения конфиденциальных данных)
  13. Blackhat поисковая оптимизация (SEO)
  14. Любые ошибки, вызванные устаревшей версией браузера

Hostinger Россия не принимает отчетов от автоматизированных систем поиска уязвимостей.

ВИДЫ ПООЩРЕНИЙ:

Все премии присуждаются по усмотрению команды Hostinger Россия ответственной за Программу поощрений, в зависимости от серьезности обнаруженной уязвимости. В случае присуждения премии минимальный размер вознаграждения составляет 50 (пятьдесят) долларов США. Только 1 (одна) премия может быть присуждена за обнаружение одной ошибки. Премия присуждается первому исследователю, сообщившему об обнаружении соответствующей ошибки.

Исследования и отчетность:

Исследователь безопасности, сообщающий об уязвимости, должен тщательно проверить и подтвердить ошибку перед тем, как отправить сообщение. Все отчеты должны включать следующую информацию:

  1. Шаги, которые следует выполнить для воспроизведения уязвимости
  2. Четкое указание, какие аккаунты были использованы в отчете и как они связаны между собой.

Чтобы сообщить об уязвимости безопасности напишите по электронному адресу abuse@hostinger.com.

РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ОТЧЕТА ОБ УЯЗВИМОСТИ:

  1. Чем более подробное описание ваших действий по обнаружению уязвимости вы составите, тем лучше. Укажите все страницы, которые вы посещали, идентификаторы пользователей, ссылки и т. д.
  2. Видео и изображения всегда полезны, но еще лучше дополнить их комментариями.
  3. Стабильно работающий код эксплойта поможет нам быстрее проверить сообщение об уязвимости.
  4. Помните, чем больше подробностей, тем лучше!

КОНФИДЕНЦИАЛЬНОСТЬ:

Любая информация, которую вы собираете о Hostinger Россия, сотрудниках компании или ее клиентах («Конфиденциальная информация»), участвуя в Программе поощрения, должна сохраняться конфиденциальной и может использоваться только в связи с Программой. Вы можете раскрыть информацию об уязвимости только после осуществления мероприятий по устранению уязвимости и не должны раскрывать Конфиденциальную информацию до получения письменного разрешения Hostinger Россия. Любая утечка Конфиденциальной информации в нарушение этих требований повлечет немедленное отстранение от участия в Программе.

ПРАВОВАЯ БАЗА:

Принимая участие в Программе поощрения за обнаружение ошибок, вы подтверждаете, что ознакомились и принимаете Договор публичной оферты о предоставлении услуг и Политику конфиденциальности. Тестирование не должно нарушать какие-либо законы, функционирование сервисов или ставить под угрозу любые данные, которые не являются вашей собственностью. Вы берете на себя ответственность за любые налоги и удержания, прямые или сопутствующие, возникающие в связи с вашим участием в Программе поощрения за обнаружение ошибок Hostinger Россия и получением вознаграждений. Hostinger Россия может прибегать к услугам стороннего поставщика для управления Программой поощрения за обнаружение ошибок. В последнем случае применяются условия поставщика услуг. Решение о выплате или невыплате вознаграждения принимает Hostinger Россия по своему собственному усмотрению. Размер вознаграждений в рамках Программы является произвольным. Программа может быть закрыта в любой момент.