$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Versi 1.0 · Terakhir diperbarui: 2026-05-19 · machine-readable: /.well-known/security.txt

Menemukan bug, kerentanan, atau penyalahgunaan? Beri tahu kami. Kami menghargai responsible disclosure dan merespons dalam 48 jam — biasanya lebih cepat.

Cara melapor

  • Email: [email protected] — disukai untuk laporan tertulis dengan PoC yang bisa direproduksi.
  • Signal: tautan ada di footer. Untuk triase real-time atau saat sedang dieksploitasi aktif.
  • PGP: belum dipublikasikan. Akan ada begitu kami benar-benar menerima laporan sensitif.

Mohon sertakan dalam laporanmu minimal: langkah reproduksi, perkiraan dampak, URL/hostname yang terdampak, info kontakmu untuk tindak lanjut.

Dalam cakupan

  • Infrastruktur produksi: *.internalhost.eu dan apa pun yang dirutekan via AS204729 ().
  • Portal pelanggan: website ini (Paymenter).
  • Infrastruktur mail: mail.internalhost.eu, mx2.internalhost.eu.
  • Source code publik kami di github.com/internalhost-eu.

Di luar cakupan

  • Server pelanggan (VPS / dedicated / kolokasi): itu milik pelanggan kami. Tanpa pengujian tanpa izin tertulis dari pemilik. Kami berhak melaporkan riset tanpa izin di IP pelanggan ke polisi.
  • Denial of Service dan serangan volumetrik.
  • Spam, phishing, social engineering terhadap staf atau pelanggan kami.
  • Masalah teoretis tanpa Proof of Concept yang berfungsi.
  • Temuan scanner otomatis tanpa verifikasi manual ("SSL kamu tidak dapat A+ di Qualys" bukan kerentanan).
  • Masalah upstream di proyek open-source (Laravel, Filament, Paymenter, CloudPanel, dll.) — silakan laporkan langsung ke proyeknya.

Komitmen kami

  • Kami merespons dalam 48 jam, biasanya dalam 8 jam kerja.
  • Kami menyelidiki dengan serius dan terus memberi kabar perkembangan.
  • Kami tidak mengambil tindakan hukum terhadap peneliti yang bertindak dengan itikad baik dan mengikuti kebijakan ini.
  • Masalah yang terkonfirmasi mendapat sebutan hall-of-fame (kalau kamu mau) dan ucapan terima kasih personal via Signal dari Nick.
  • Kami menambal kerentanan sebelum disclosure publik. Jendela disclosure default: 90 hari setelah konfirmasi, lebih singkat saat sedang dieksploitasi aktif.

Yang tidak kami tawarkan

Tidak ada program bug-bounty dengan hadiah uang. Kami tim kecil. Yang kamu dapat:

  • Kredit publik di halaman ini (atau anonim, terserah kamu).
  • Merchandise InternalHost (kalau kami sudah punya).
  • Percakapan soal bug itu sendiri, bukan soal prioritas yang ditentukan manajer.

Hall of fame

Peneliti yang sudah membantu kami. Terima kasih.

Masih kosong — jadilah yang pertama.