$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

संस्करण 1.0 · अंतिम बार अपडेट: 2026-05-19 · machine-readable: /.well-known/security.txt

कोई bug, vulnerability या abuse मिला? हमें बताओ। हम responsible disclosure को महत्व देते हैं और 48 घंटे के भीतर — आमतौर पर पहले — जवाब देते हैं।

कैसे report करें

  • ईमेल: [email protected] — reproducible PoC के साथ लिखित reports के लिए पसंदीदा।
  • Signal: footer में link। Real-time triage के लिए या जब actively exploit हो रहा हो।
  • PGP: अभी प्रकाशित नहीं। जब हम वास्तव में संवेदनशील reports पाएँगे तब होगा।

अपनी report में कम से कम शामिल करो: reproduce करने के steps, impact का अनुमान, प्रभावित URL/hostname, follow-up के लिए तुम्हारी संपर्क जानकारी।

दायरे में

  • Production infrastructure: *.internalhost.eu और AS204729 () के ज़रिए route हुई हर चीज़।
  • ग्राहक पोर्टल: यह website (Paymenter)।
  • Mail infrastructure: mail.internalhost.eu, mx2.internalhost.eu
  • हमारा सार्वजनिक source code github.com/internalhost-eu पर।

दायरे से बाहर

  • ग्राहक सर्वर (VPS / dedicated / colocation): वे हमारे ग्राहकों के हैं। मालिक की लिखित अनुमति के बिना कोई testing नहीं। ग्राहक IPs पर अनधिकृत research को पुलिस में report करने का अधिकार हम सुरक्षित रखते हैं।
  • Denial of Service और volumetric हमले।
  • Spam, phishing, हमारे staff या ग्राहकों का social engineering।
  • बिना कार्यशील Proof of Concept के सैद्धांतिक मुद्दे।
  • बिना manual verification के automated scanner findings ("तुम्हारा SSL Qualys पर A+ score नहीं करता" कोई vulnerability नहीं है)।
  • Open-source projects (Laravel, Filament, Paymenter, CloudPanel, आदि) में upstream मुद्दे — कृपया वे सीधे report करो।

हम क्या वादा करते हैं

  • हम 48 घंटे में जवाब देते हैं, आमतौर पर 8 business hours में।
  • हम गंभीरता से जाँच करते हैं और तुम्हें प्रगति की जानकारी देते हैं।
  • इस policy का पालन करते हुए सद्भावना से काम करने वाले researchers के विरुद्ध हम कोई कानूनी कार्रवाई नहीं करते।
  • पुष्टि किए गए मुद्दों को hall-of-fame में जगह मिलती है (अगर तुम चाहो) और Nick से व्यक्तिगत Signal धन्यवाद।
  • हम सार्वजनिक disclosure से पहले vulnerabilities patch करते हैं। डिफ़ॉल्ट disclosure window: पुष्टि के 90 दिन बाद, actively exploit होने पर कम।

हम क्या नहीं देते

कोई bug-bounty program नकद पुरस्कारों के साथ नहीं। हम छोटी टीम हैं। तुम्हें जो मिलता है:

  • इस पेज पर सार्वजनिक श्रेय (या anonymous, तुम्हारी मर्ज़ी)।
  • InternalHost merch (जब भी हमारे पास हो)।
  • Bug के बारे में बात — manager-driven priorities के बारे में नहीं।

Hall of fame

हमारी मदद करने वाले researchers। धन्यवाद।

फिलहाल खाली — पहले बनो।