Suporte Métodos de pagamento Programa de Afiliados
Área do cliente

Informe uma vulnerabilidade — ajude-nos a manter nossos serviços seguros

Se você encontrou uma possível vulnerabilidade em nossos aplicativos, sistemas ou recursos, informe-a enviando suas descobertas no formulário do HackerOne abaixo. Sua contribuição nos ajuda a manter uma segurança de alto nível e a proteger nossos usuários. Agradecemos seu apoio!

Antes de informar, veja toda a Política de Divulgação de Vulnerabilidades.

Observe que a is*hosting não opera um programa de recompensa por bugs público, e não oferecemos nenhuma recompensa ou compensação em troca do envio de possíveis problemas por esse programa de divulgação.

Programa de Divulgação de Vulnerabilidades com o HackerOne

Na is*hosting, valorizamos os esforços da comunidade de segurança para nos ajudar a manter os mais altos padrões de segurança nos nossos produtos e serviços. Esse Programa de Divulgação de Vulnerabilidades (VDP) convida pesquisadores a identificar vulnerabilidades que possam comprometer a integridade, a disponibilidade ou a confidencialidade dos nossos sistemas. Temos o compromisso de trabalhar com a comunidade para resolver prontamente os problemas identificados.

Política de Divulgação

  • Como esse é um programa privado, não discuta esse programa nem quaisquer vulnerabilidades (até mesmo as resolvidas) fora dele sem o consentimento expresso da organização.
  • Siga as diretrizes de divulgação do HackerOne.

Regras do programa

Em conexão com sua participação nesse Programa, você concorda em atender aos Termos de Uso da is*hosting, à Política de Privacidade da is*hosting e a todas as leis e regulamentações aplicáveis, incluindo aquelas que regem a privacidade de dados ou o processamento legal de dados.

  • Forneça relatórios detalhados com passos para reprodução, incluindo capturas de tela, snippets de código e detalhes do ambiente. Se o relatório não for detalhado o suficiente para reproduzir o problema, talvez não seja marcado como triado.
  • Envie uma vulnerabilidade por relatório. Se estiver conectando vulnerabilidades para demonstrar impacto, explique claramente as interdependências e o impacto geral em um único relatório.
  • Em caso de duplicatas, só fazemos a triagem do primeiro relatório recebido, que possa ser totalmente reproduzido.
  • Várias vulnerabilidades causadas por um problema subjacente serão consolidadas em um relatório e tratadas como um único envio.
  • Ataques de engenharia social (por exemplo, phishing, vishing e smishing) são estritamente proibidos e resultarão em desqualificação.
  • Faça um esforço de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação do nosso serviço. Só interaja com contas que você possui ou têm permissão explícita para usar. O acesso não autorizado a qualquer conta ou dado é estritamente proibido.
  • Use identificadores específicos, que incluam seu endereço de e-mail registrado do HackerOne, "[email protected]", para nos ajudar a reconhecer seu tráfego.
  • Problemas de segurança encontrados em recursos de terceiros não gerenciados por nós estão fora do escopo. Confira se o seu alvo é de nossa propriedade ao verificar o registro do domínio e os registros DNS.
  • O uso de scanners e ferramentas automatizadas (por exemplo, Nessus e Burp Suite) é proibido, a menos que explicitamente permitido.

Camada de sessão: cabeçalhos HTTP

Os pesquisadores devem adicionar cabeçalhos a solicitações, como:

  • "X-HackerOne-Research: [nome de usuário do H1]"

Plano de testes

Para acessar nossos ambientes de teste, siga estas etapas:

  1. Inscreva-se em https://my.ishosting.com usando seu alias de e-mail do HackerOne (que termina em @wearehackerone.com).
  2. Depois de fazer login com seu alias de e-mail verificado, acesse https://my.ishosting.com/en/hackerone.
  3. Nessa página, você pode solicitar uma recarga de saldo automática para fins de pesquisa a fim de ativar os serviços necessários para os testes.

Importante:

  • Não manipule seu alias de e-mail (por exemplo, adicionando "+algo" a ele), já que apenas o alias original (por exemplo, [email protected]) será aceito para solicitações de recarga de saldo.
  • Esse saldo é estritamente para testes no escopo do Programa de Divulgação de Vulnerabilidades (VDP).

Abuso do sistema de recompensas

As recargas de saldo fornecidas para fins de testes são estritamente para uso no escopo do Programa de Divulgação de Vulnerabilidades (VDP) e estão sujeitas a monitoramento rigoroso.

  • O uso indevido dos fundos alocados para fins não relacionados ao VDP resultará na suspensão da conta, na anulação do saldo e na remoção do programa.
  • Violadores também podem ser reportados para o HackerOne, o que talvez afete a situação deles na plataforma.

Política de conta única

Os participantes são proibidos de criar várias contas para ganhar recargas de saldo adicionais ou outros benefícios.

  • Se forem identificadas contas duplicadas, todas as contas relacionadas serão suspensas, seus saldos serão revogados e o participantes serão desqualificados do programa.
  • Serão tomadas medidas adicionais, incluindo denúncias ao HackerOne, conforme necessário.

Recursos para testes

Escopo

O escopo desse programa inclui todos os recursos e aplicativos relacionados à nossa plataforma principal. Os pesquisadores devem testar diversos recursos em diferentes mercados para obter uma visão abrangente. Ambientes e recursos específicos estão descritos abaixo.

Os seguintes domínios da is*hosting estão no escopo:

Domínios fora do escopo:

Principais vulnerabilidades não qualificadas

Ao reportar vulnerabilidades em potencial, considere (1) cenários de ataque realistas e (2) o impacto do comportamento na segurança. Abaixo, você encontrará os falsos positivos mais comuns que encontramos. Os seguintes problemas serão considerados inválidos, exceto em raras circunstâncias que demonstrem um claro impacto na segurança:

Safe Harbor

Mudanças nos termos do programa

O Programa de Divulgação de Vulnerabilidades (VDP), incluindo suas políticas, está sujeito a alterações ou encerramento pela is*hosting a qualquer momento, sem aviso prévio. Portanto, a is*hosting poderá alterar estes Termos do Programa e/ou suas políticas a qualquer momento ao publicar uma versão revisada. Sua participação contínua no programa VDP após a publicação dessas modificações constitui sua aceitação dos termos modificados do programa.

Conclusão

Agradecemos por ajudar a manter a is*hosting e nossos usuários seguros!

Apreciamos as contribuições da comunidade de segurança para nos ajudar a proteger nossos usuários e sistemas. Obrigado pelos seus esforços e sua adesão a esta política para tornar nossa plataforma mais segura.