Поддержка Способы оплаты
Личный кабинет

Сообщите об уязвимости — Помогите нам обеспечивать безопасность наших сервисов

Если вы обнаружили потенциальную уязвимость в наших приложениях и сервисах, пожалуйста, сообщите об этом через форму HackerOne ниже. Ваш вклад помогает нам поддерживать высокий уровень безопасности и защищать пользователей. Спасибо за вашу поддержку!

Перед отправкой отчета, пожалуйста, ознакомьтесь с полной Политикой раскрытия уязвимостей.

Обратите внимание: is*hosting не проводит публичную программу поощрения за нахождение уязвимостей и не предлагает вознаграждений или компенсаций за сообщения в рамках этой программы раскрытия уязвимостей.

Программа раскрытия уязвимостей с HackerOne

В is*hosting мы ценим усилия исследовательского сообщества, которые помогают поддерживать наивысшие стандарты безопасности наших продуктов и сервисов. Программа раскрытия уязвимостей (VDP) приглашает исследователей выявлять проблемы, которые могут повлиять на целостность, доступность или конфиденциальность наших систем. Мы стремимся оперативно взаимодействовать с сообществом и устранять найденные проблемы.

Политика раскрытия

Правила программы

Участвуя в этой программе, вы соглашаетесь соблюдать Пользовательское соглашение is*hosting, Политику конфиденциальности is*hosting, а также все применимые законы и нормы, включая нормы о защите данных и их законной обработке.

  • Предоставляйте развернутые отчеты с воспроизводимыми шагами, скриншотами, фрагментами кода и деталями окружения. Если данных недостаточно для воспроизведения, отчет может не быть принят в триаж.
  • Отправляйте одну уязвимость на отчет. Если вы демонстрируете влияние цепочкой уязвимостей, понятно объясните взаимосвязи и суммарный эффект в одном отчете.
  • В случае дублей в триаж принимается первый полученный отчет, который можно полностью воспроизвести.
  • Несколько уязвимостей, вызванных одной корневой причиной, консолидируются в один отчет и рассматриваются как единая заявка.
  • Атаки социальной инженерии (фишинг, вишинг, смишинг и т.п.) строго запрещены и ведут к исключению из программы.
  • Действуйте добросовестно: избегайте нарушения приватности, уничтожения данных, прерывания или деградации сервиса. Взаимодействуйте только с теми аккаунтами, которыми владеете, либо к которым имеете явное разрешение на использование. Несанкционированный доступ к любым аккаунтам или данным запрещен.
  • Используйте специфичные идентификаторы, включая ваш зарегистрированный в HackerOne адрес «yourhandle@wearehackerone.com», чтобы мы могли распознавать ваш трафик.
  • Проблемы безопасности на сторонних активах, которыми мы не управляем, находятся вне области действия программы. Перед тестированием убедитесь, что цель принадлежит нам (проверьте регистрацию домена и DNS‑записи).
  • Использование автоматических сканеров и инструментов (например, Nessus, Burp Suite) запрещено, если это не разрешено явно.

Сеансовый уровень: HTTP-заголовки

Исследователям следует добавлять к запросам заголовки, например:

  • “X-HackerOne-Research: [H1 username]”

План тестирования

Чтобы получить доступ к окружениям для тестирования, выполните следующие шаги:

  1. Зарегистрируйтесь на https://my.ishosting.io, используя ваш email‑алиас HackerOne (оканчивается на @wearehackerone.com).
  2. После входа с подтвержденным алиасом перейдите на https://my.ishosting.io/ru/hackerone.
  3. На этой странице вы можете запросить автоматическое пополнение баланса для исследовательских целей, чтобы активировать нужные для тестирования сервисы.

Важно:

  • Не модифицируйте свой email‑алиас (например, не добавляйте лишние символы). Принимается только исходный алиас (например, yourhandle@wearehackerone.com) для запросов на пополнение баланса.
  • Этот баланс предназначен только для тестирования в рамках области действия VDP.

Злоупотребление системой вознаграждений

Пополнения баланса, предоставляемые для тестирования, разрешены исключительно в рамках области действия VDP и находятся под пристальным мониторингом.

  • Злоупотребление выделенными средствами не по назначению приведет к блокировке аккаунта, аннулированию баланса и исключению из программы.
  • О нарушителях также может быть сообщено HackerOne, что повлияет на их статус на платформе.

Политика одного аккаунта

Запрещено создавать несколько аккаунтов для получения дополнительных пополнений баланса или иных преимуществ.

  • При выявлении дубликатов все связанные аккаунты будут заблокированы, балансы списаны, а участник исключен из программы.
  • При необходимости последуют дополнительные меры, включая уведомление HackerOne.

Ресурсы для тестирования

Область действия (Scope)

Область действия программы охватывает все активы и приложения, относящиеся к нашей основной платформе. Рекомендуем проверять разные функции в разных локациях, чтобы получить полную картину. Конкретные окружения и активы перечислены ниже.

В области действия:

Типы уязвимостей, не принимаемые к рассмотрению

При отправке отчетов учитывайте (1) реалистичность сценариев атаки и (2) реальный уровень риска. Ниже перечислены наиболее частые ложноположительные случаи, с которыми мы сталкиваемся. Такие проблемы будут закрываться как невалидные. Исключения допускаются, когда продемонстрировано очевидное и значимое влияние на безопасность.

Безопасная гавань (Safe Harbor)

Изменение условий программы

  • Данная программа VDP, включая ее политики, может быть изменена или прекращена компанией is*hosting в любое время и без уведомления. Соответственно, is*hosting вправе менять настоящие условия и/или политики, публикуя их обновленные версии. Продолжая участвовать в программе VDP после публикации изменений, вы принимаете обновленные условия.

Заключение

Спасибо, что помогаете защищать is*hosting и наших пользователей!

Мы ценим вклад исследовательского сообщества в повышение безопасности наших систем.

Благодарим за усилия и соблюдение данной политики.