$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Versjon 1.0 · Sist oppdatert: 2026-05-19 · maskinlesbar: /.well-known/security.txt

Funnet en bug, sårbarhet eller misbruk? Si fra. Vi setter pris på ansvarlig avsløring og svarer innen 48 timer — vanligvis raskere.

Hvordan rapportere

  • E-post: [email protected] — foretrukket for skriftlige rapporter med reproduserbar PoC.
  • Signal: lenke i footeren. For sanntidstriage eller når aktivt utnyttet.
  • PGP: ikke publisert ennå. Kommer når vi faktisk mottar sensitive rapporter.

Inkluder i rapporten din minimum: trinn for å reprodusere, anslag av påvirkning, berørt URL/vertsnavn, kontaktinformasjon for oppfølging.

I omfanget

  • Produksjonsinfrastruktur: *.internalhost.eu og alt rutet via AS204729 ().
  • Kundeportal: denne nettsiden (Paymenter).
  • E-postinfrastruktur: mail.internalhost.eu, mx2.internalhost.eu.
  • Vår offentlige kildekode på github.com/internalhost-eu.

Utenfor omfanget

  • Kundeservere (VPS / dedikerte / samlokalisering): de tilhører kundene våre. Ingen testing uten skriftlig tillatelse fra eieren. Vi forbeholder oss retten til å rapportere uautorisert forskning på kunde-IP-er til politiet.
  • Denial of Service og volumetriske angrep.
  • Spam, phishing, social engineering av staben eller kundene våre.
  • Teoretiske problemer uten en fungerende Proof of Concept.
  • Automatiske scanner-funn uten manuell verifisering ("SSL-en din scorer ikke A+ på Qualys" er ikke en sårbarhet).
  • Upstream-problemer i open-source-prosjekter (Laravel, Filament, Paymenter, CloudPanel, osv.) — rapporter dem direkte.

Hva vi forplikter oss til

  • Vi svarer innen 48 timer, vanligvis innen 8 arbeidstimer.
  • Vi undersøker seriøst og holder deg oppdatert om fremdriften.
  • Vi tar ingen rettslige skritt mot forskere som handler i god tro og følger denne policyen.
  • Bekreftede problemer får en hall-of-fame-omtale (hvis du vil) og en personlig Signal-takk fra Nick.
  • Vi patcher sårbarheter før offentlig avsløring. Standard avsløringsvindu: 90 dager etter bekreftelse, kortere når aktivt utnyttet.

Hva vi ikke tilbyr

Ingen bug-bounty-program med kontantbelønning. Vi er et lite team. Det du får:

  • Offentlig kreditering på denne siden (eller anonymt, ditt valg).
  • InternalHost-merch (når vi har noe).
  • En samtale om selve buggen, ikke om lederdrevne prioriteringer.

Hall of fame

Forskere som har hjulpet oss. Takk.

Tom foreløpig — vær den første.