5 jours - gratuit Statistiques de téléchargement des chaînes Hébergement gratuit Action "Changement d’hôte"

Il est important pour nous de protéger les données des utilisateurs, nous sommes donc prêts à coopérer avec les personnes qui recherchent des vulnérabilités et les récompensent.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Récompense

L’hébergement en Ukraine offre une récompense pour les vulnérabilités trouvées. Le montant minimum de la rémunération est de 50$, maximum 1000$. Le montant de la récompense dépend du niveau de vulnérabilité, qui est déterminé par le réalisme de l’exploitation de la vulnérabilité :

  1. Niveau élevé — jusqu\'à 1000$. Accès à la base de données centrale, accès au code source, exécution de commandes arbitraires sur le serveur central, exécution de commandes arbitraires sur le serveur d’hébergement en tant que root.
  2. Niveau moyen — jusqu\'à 250$. 
  3. Faible niveau — jusqu\'à 150$. Attaques potentielles difficiles à réaliser ou pour lesquelles un grand nombre de facteurs doivent correspondre. 
  4. Toutes les attaques XSS qui nécessitent de suivre un lien sont plafonnées à 50$.
  5. Les vulnérabilités trouvées dans les versions alpha et bêta des services sont limitées à 150$. (29/11/2022)

Rapports

Pour accroître la confiance des parties, le processus de dépôt d’un rapport de vulnérabilité s’effectue selon l’algorithme suivant :

  1. Vous écrivez à email demande de renseignements concernant la possibilité de déposer un rapport. Nous répondrons que nous sommes prêts à accepter la nouvelle vulnérabilité. Nous ne le ferons que si nous n\'avons pas d\'autres vulnérabilités en cours. En effet, il peut arriver que quelqu\'un d\'autre ait déjà signalé la même vulnérabilité et qu\'il s\'avère que vous ayez soumis une vulnérabilité mais que vous ne receviez pas de récompense pour cela.
  2. Après avoir obtenu le consentement, vous vérifiez la possibilité d’exploiter la vulnérabilité.
  3. Ne soumettez qu\'un seul bogue. Vous ne devez pas soumettre plusieurs bogues à la fois, car il arrive souvent que la fermeture d\'une vulnérabilité entraîne sa fermeture à d\'autres endroits en même temps. Après tout, une ligne de code peut être appelée à des centaines d\'endroits dans un programme.
  4. Nous étudions l’impact et la réalité de l’exploitation de la vulnérabilité.
  5. Nous corrigeons le bug.
  6. Nous versons une rémunération à PayPal, compte courant ou carte. Nous n’avons pas la capacité d’effectuer des paiements en crypto-monnaies (Bitcoin et autres), car nous ne les utilisons pas.

Conditions

  1. Le programme n’inclut pas le développement tiers, les vulnérabilités du système d’exploitation zero-day, les erreurs dans les cœurs de processeur et d’autres vulnérabilités que nous ne pouvons pas influencer.
  2. Le programme est distribué uniquement sur le logiciel que nous avons créé et qui se trouve sur les sites ukraine.com.ua, auth.adm.tools, webmail.online et adm.tools.
  3. N’utilisez pas la vulnérabilité trouvée pour modifier des informations ou y accéder sans autorisation. Utilisez votre compte pour tester.
  4. Veuillez nous informer dès que possible si vous avez modifié par inadvertance des données qui ne devraient pas être modifiées. Ne pas afficher, modifier ou enregistrer les données qui ont été obtenues en cas de vulnérabilité.
  5. Agissez avec une bonne intention afin de ne pas violer la vie privée des autres utilisateurs, ne désactivez pas les services.
  6. Agir dans le respect de la loi.
  7. La récompense va à la première personne à signaler la vulnérabilité.
  8. La publication d’une vulnérabilité sur Internet avant sa résolution peut entraîner l’annulation de la récompense Nous ne négocierons pas en réponse à des menaces (par exemple, nous ne négocierons pas un montant de paiement sous la menace de dissimuler une vulnérabilité ou de menacer de divulguer une vulnérabilité ou toute divulgation au public).
  9. La vitesse de traitement des bogues dépend de la gravité des bogues et de la charge de travail des programmeurs et prend de 3 à 30 jours.

Vulnérabilités pour lesquelles aucune rémunération n’est versée

Les questions suivantes sortent du cadre de notre programme de récompense :

  1. Notre politique concernant la présence / l’absence d’enregistrements SPF / DMARC.
  2. Politiques de mot de passe, de courrier électronique et de compte telles que la vérification de l’identifiant de courrier électronique, l’expiration du lien de réinitialisation, la complexité du mot de passe.
  3. Absence de jetons CSRF (s’il n’y a aucune preuve d’une action réelle et confidentielle de l’utilisateur qui n’est pas protégée par un jeton).
  4. Attaques nécessitant un accès physique à l’appareil de l’utilisateur. Ainsi que des attaques liées à l’interception du trafic. 
  5. Il n’y a pas d’en-têtes de sécurité qui ne conduisent pas directement à une vulnérabilité.
  6. Absence de pratiques exemplaires (nous avons besoin de preuves de la vulnérabilité du système).
  7. Placer du contenu malveillant/arbitraire sur l’hébergement.
  8. Toutes les attaques dirigées contre lui-même, telles que Self-XSS.
  9. Nous accepterons les rapports de vulnérabilités dans le système d’exploitation et les produits tiers, mais nous ne les récompenserons pas.
  10. Injections d’en-tête d’hôte si vous ne pouvez pas montrer comment elles peuvent conduire au vol de données utilisateur.
  11. Utilisation d’une bibliothèque vulnérable connue (pas de preuve d’utilisation).
  12. Rapports d’outils automatisés ou d’analyses.
  13. Vulnérabilités affectant les utilisateurs de navigateurs ou de plates-formes obsolètes.
  14. Ingénierie sociale des employés ou des entrepreneurs de Hosting Ukraine.
  15. La présence de l’attribut de saisie semi-automatique dans les formulaires Web.
  16. Indicateurs de cookie manquants pour les cookies insensibles.
  17. Rapports de chiffrements SSL / TLS non sécurisés (à moins que vous n’ayez une preuve de concept fonctionnelle, pas seulement un rapport d’un scanner).
  18. La possibilité de déterminer si l’utilisateur est inscrit sur l’hébergement, si son email est connu.
  19. Tout rapport sur le contournement de nos restrictions de service.
  20. Les vulnérabilités d’usurpation de contenu (lorsque vous ne pouvez insérer que du texte ou une image sur une page) sont hors de portée. Nous accepterons et corrigerons une vulnérabilité d’usurpation où un attaquant peut entrer une image ou un texte enrichi (HTML) mais n’est pas éligible pour une prime. L’introduction de texte pur est hors de portée.
  21. Créez plusieurs comptes en utilisant la même adresse e-mail.
  22. Risque de phishing dû à des problèmes unicode / punycode ou RTLO.
  23. Vulnérabilité due au fait que nous avons désactivé DMARC. Ce n’est pas une vulnérabilité que les serveurs tiers ignorent les enregistrements SPF et acceptent les e-mails de services tiers (y compris Gmail).
  24. Tout type d’attaques flood et bruteforce, DoS et DDoS, ainsi que les attaques liées à une diminution des performances du serveur. 
  25. Attaques dans lesquelles l’attaquant a accès à l’e-mail ou au téléphone de la victime.
  26. En-têtes de sécurité manquants COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Disponibilité des informations sur le logiciel utilisé. Nous sommes un fournisseur d’hébergement et annonçons des informations sur les logiciels installés aux clients. Par conséquent, ces informations ne peuvent pas être classifiées.
  28. Obtenir l’adresse IP d’un employé de l’entreprise n’est pas une vulnérabilité. Le support technique ouvre des liens, vous pouvez envoyer un lien de phishing ou un fichier SVG par courrier, etc.
  29. La présence de données EXIF dans les fichiers image que les utilisateurs soumettent. Nos clients ne publient pas leurs photos personnelles sur notre site, qui peuvent contenir des EXIF avec des coordonnées précieuses.
  30. Chargement des fichiers SVG. Nous les sauvegardons en pièces jointes et ne les affichons pas sur le site. Cela évite d’obtenir des données du site.
  31. Social Engeneering Attacks.
  32. Présence d’enregistrements CAA dans le DNS.
  33. «Attaques amicales», dépensés par les utilisateurs à qui la victime a donné accès aux services. 16/05/2023
  34. Toutes les vulnérabilités publiques CVE, CWE des logiciels publics, des certificats, etc.
  35. Attaques nécessitant un accès physique à l\'ordinateur de la victime. 26/01/2024

Provisions finales

  1. Vous êtes responsable du paiement de toutes les taxes liées aux récompenses.
  2. Nous pouvons modifier les conditions de ce programme ou y mettre fin à tout moment. Nous n’appliquerons aucune modification apportée aux présentes conditions du programme rétroactivement.
  3. Les employés de Hosting Ukraine et les membres de leur famille n’ont pas droit à une rémunération.
  4. Hosting Ukraine peut vous fournir un accès gratuit aux produits. Cet accès est uniquement à des fins de test et peut être révoqué à tout moment avec ou sans préavis.