Раскрытие уязвимостей

Сообщить об уязвимости

Если вы считаете, что обнаружили уязвимость безопасности, затрагивающую cryptoservers.io или базовую инфраструктуру, сообщите о ней по одному из следующих каналов:

• Электронная почта — [email protected], предпочтительно с шифрованием PGP с использованием нашего открытого ключа.
• security.txt — машиночитаемые контактные данные по адресу /.well-known/security.txt согласно RFC 9116.
• HackerOne (приватно) — по приглашению; укажите ваш дескриптор HackerOne в первом письме.

Пожалуйста, не сообщайте об уязвимостях через публичные каналы (GitHub Issues, Twitter, Mastodon, заявки в поддержку) до того, как мы получим возможность ответить.

Область охвата

В области действия

• Веб-ресурс cryptoservers.io и все поддомены.
• Панель управления клиента (panel.cryptoservers.io).
• Каталог /.well-known/ и его подписанное содержимое.
• Уязвимости выхода из гипервизора, хост-гость, гость-гость и уязвимости живой миграции, затрагивающие нашу KVM-инфраструктуру.
• Обходы аутентификации / авторизации в панели управления или её потоке OAuth.
• Раскрытие персональных данных клиентов или платёжной информации.

Вне области действия

• Контент, размещённый клиентами, или сервисы, эксплуатируемые клиентами на нашей инфраструктуре, — обращайтесь напрямую к клиенту или используйте abuse@.
• Тесты на отказ в обслуживании нашей инфраструктуры.
• Социальная инженерия в отношении наших сотрудников.
• Выводы автоматизированных сканеров без доказуемого воздействия.
• Отсутствующие заголовки безопасности, не ведущие непосредственно к уязвимости.
• Устаревшие версии программного обеспечения на маркетинговых ресурсах при отсутствии рабочего эксплойта.

Что происходит после вашего сообщения

1. Подтверждение в течение 24 часов, 7 дней в неделю. Подписывается PGP.
2. Сортировка в течение 72 часов — оценка серьёзности и предварительные сроки устранения.
3. Исправление и верификация — мы выпускаем исправление, просим вас проверить его, затем развёртываем в рабочей среде.
4. Скоординированное раскрытие — согласовывается с вами, как правило, через 90 дней после выпуска исправления. Мы публикуем разбор инцидента с указанием вашего имени (или анонимно по запросу).
5. Вознаграждение — см. раздел «Вознаграждения» ниже.

Шкала вознаграждений

Выплачивается в USD (банковским переводом) или в выбранной вами криптовалюте (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) по рыночному курсу на день присуждения.

При дублирующих отчётах вознаграждение присуждается по принципу первой действительной заявки. Наибольшее выплаченное вознаграждение на сегодня составляет $12 000 (2025-09-11, TOCTOU при живой миграции гипервизора). Все исследователи с действительными заявками по их желанию включаются в Зал славы.

Безопасная гавань

Исследования, проводимые в рамках и в духе настоящей политики, не квалифицируются как несанкционированный доступ в соответствии с законодательством Saint Kitts или законодательством наших операционных юрисдикций, и мы не будем инициировать гражданское или уголовное преследование исследователей, действующих добросовестно. В частности:

• Не извлекайте больше данных, чем необходимо для демонстрации воздействия — достаточно одного снимка экрана.
• Не выполняйте деструктивных действий (удаление данных клиентов, остановка сервисов, изменение рабочей среды).
• Остановитесь и сообщите о находке сразу после демонстрации воздействия.
• Не передавайте результаты третьим лицам до даты скоординированного раскрытия.

Если вы случайно вышли за пределы области действия, действуя добросовестно, — немедленно свяжитесь с нами, и мы вместе разберёмся в ситуации.