$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

সংস্করণ 1.0 · সর্বশেষ আপডেট: 2026-05-19 · machine-readable: /.well-known/security.txt

কোনো bug, vulnerability বা abuse পেয়েছ? আমাদের বল। আমরা responsible disclosure-কে মূল্য দিই এবং 48 ঘণ্টার মধ্যে — সাধারণত আগেই — উত্তর দিই।

কীভাবে report করবে

  • ইমেইল: [email protected] — reproducible PoC সহ লিখিত reports-এর জন্য পছন্দনীয়।
  • Signal: footer-এ link। Real-time triage-এর জন্য বা যখন actively exploit হচ্ছে।
  • PGP: এখনও প্রকাশিত নয়। যখন আমরা সত্যিকারের সংবেদনশীল reports পাব তখন হবে।

তোমার report-এ অন্তত যুক্ত কর: reproduce করার steps, impact-এর অনুমান, প্রভাবিত URL/hostname, follow-up-এর জন্য তোমার যোগাযোগের তথ্য।

পরিধিতে

  • Production infrastructure: *.internalhost.eu এবং AS204729 () এর মাধ্যমে route হওয়া সব কিছু।
  • গ্রাহক পোর্টাল: এই website (Paymenter)।
  • Mail infrastructure: mail.internalhost.eu, mx2.internalhost.eu
  • আমাদের সর্বজনীন source code github.com/internalhost-eu-এ।

পরিধির বাইরে

  • গ্রাহক সার্ভার (VPS / dedicated / colocation): এগুলো আমাদের গ্রাহকদের। মালিকের লিখিত অনুমতি ছাড়া কোনো testing নয়। গ্রাহক IPs-এ অননুমোদিত research পুলিশে report করার অধিকার আমরা সংরক্ষণ করি।
  • Denial of Service এবং volumetric আক্রমণ।
  • Spam, phishing, আমাদের staff বা গ্রাহকদের social engineering।
  • কার্যকরী Proof of Concept ছাড়া তাত্ত্বিক সমস্যা।
  • Manual verification ছাড়া automated scanner findings ("তোমার SSL Qualys-এ A+ score করে না" কোনো vulnerability নয়)।
  • Open-source projects (Laravel, Filament, Paymenter, CloudPanel, ইত্যাদি) এ upstream সমস্যা — অনুগ্রহ করে সেগুলো সরাসরি report কর।

আমরা কী প্রতিশ্রুতি দিই

  • আমরা 48 ঘণ্টায় উত্তর দিই, সাধারণত 8 business hours-এ।
  • আমরা গুরুত্বের সাথে তদন্ত করি এবং তোমাকে অগ্রগতি জানাই।
  • এই policy অনুসরণ করে সদিচ্ছার সাথে কাজ করা researchers-এর বিরুদ্ধে আমরা কোনো আইনি ব্যবস্থা নিই না।
  • নিশ্চিত সমস্যা hall-of-fame-এ উল্লেখ পায় (যদি তুমি চাও) এবং Nick থেকে ব্যক্তিগত Signal ধন্যবাদ।
  • আমরা সর্বজনীন disclosure-এর আগে vulnerabilities patch করি। ডিফল্ট disclosure window: নিশ্চিত হওয়ার 90 দিন পর, actively exploit হলে কম।

আমরা কী দিই না

কোনো bug-bounty program নগদ পুরস্কার সহ নয়। আমরা ছোট team। তুমি যা পাও:

  • এই পেজে সর্বজনীন কৃতিত্ব (অথবা anonymous, তোমার পছন্দ)।
  • InternalHost merch (যখন আমাদের কাছে থাকবে)।
  • Bug সম্পর্কে কথোপকথন, manager-driven priorities নয়।

Hall of fame

যারা আমাদের সাহায্য করেছেন। ধন্যবাদ।

এখন পর্যন্ত খালি — প্রথম হও।