$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Versión 1.0 · Última actualización: 19-05-2026 · machine-readable: /.well-known/security.txt

¿Has encontrado un bug, una vulnerabilidad o algún abuso? Cuéntanoslo. Valoramos la divulgación responsable y respondemos en 48 horas — normalmente antes.

Cómo reportarlo

  • Email: [email protected] — preferible para informes por escrito con PoC reproducible.
  • Signal: enlace en el footer. Para triaje en tiempo real o cuando se está explotando activamente.
  • PGP: aún no publicada. La publicaremos cuando empecemos a recibir informes realmente sensibles.

Incluye como mínimo en tu reporte: pasos para reproducirlo, estimación de impacto, URL/hostname afectado y tus datos de contacto para el seguimiento.

En el alcance

  • Infraestructura de producción: *.internalhost.eu y todo lo enrutado por AS204729 ().
  • Portal de cliente: esta web (Paymenter).
  • Infraestructura de correo: mail.internalhost.eu, mx2.internalhost.eu.
  • Nuestro código fuente público en github.com/internalhost-eu.

Fuera del alcance

  • Servidores de clientes (VPS / dedicados / colocación): son de nuestros clientes. No se permiten pruebas sin permiso por escrito del propietario. Nos reservamos el derecho de denunciar a la policía investigaciones no autorizadas sobre IPs de clientes.
  • Denial of Service y ataques volumétricos.
  • Spam, phishing, ingeniería social contra nuestro equipo o clientes.
  • Problemas teóricos sin una Proof of Concept funcional.
  • Hallazgos de escáneres automáticos sin verificación manual ("tu SSL no saca A+ en Qualys" no es una vulnerabilidad).
  • Problemas upstream en proyectos open source (Laravel, Filament, Paymenter, CloudPanel, etc.) — repórtalos directamente a quien corresponde.

A lo que nos comprometemos

  • Respondemos en 48 horas, normalmente en 8 horas laborables.
  • Investigamos con seriedad y te mantenemos al día del progreso.
  • No tomamos acciones legales contra investigadores de buena fe que sigan esta política.
  • Los hallazgos confirmados reciben mención en el hall of fame (si lo quieres) y un agradecimiento personal por Signal de Nick.
  • Parcheamos las vulnerabilidades antes de la divulgación pública. Ventana de divulgación por defecto: 90 días tras la confirmación, menos si se está explotando activamente.

Lo que no ofrecemos

No tenemos programa de bug bounty con recompensas en efectivo. Somos un equipo pequeño. Lo que sí recibes:

  • Reconocimiento público en esta página (o anónimo, tú decides).
  • Merch de InternalHost (cuando lo tengamos).
  • Una conversación sobre el bug en sí, no sobre prioridades dictadas por managers.

Hall of fame

Investigadores que nos han ayudado. Gracias.

Vacío por ahora — sé el primero.