$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Wersja 1.0 · Ostatnia aktualizacja: 2026-05-19 · machine-readable: /.well-known/security.txt

Znalazłeś buga, podatność albo nadużycie? Powiedz nam. Cenimy responsible disclosure i odpowiadamy w ciągu 48 godzin — zwykle szybciej.

Jak zgłosić

  • E-mail: [email protected] — preferowane dla raportów pisemnych z powtarzalnym PoC.
  • Signal: link w stopce. Do triage w czasie rzeczywistym albo gdy aktywnie eksploatowane.
  • PGP: jeszcze nieopublikowane. Będzie, gdy faktycznie zaczniemy dostawać wrażliwe raporty.

W swoim raporcie podaj co najmniej: kroki reprodukcji, ocenę wpływu, dotknięty URL/hostname, swoje dane kontaktowe do follow-upu.

W zakresie

  • Infrastruktura produkcyjna: *.internalhost.eu i wszystko routowane przez AS204729 ().
  • Panel klienta: ta strona (Paymenter).
  • Infrastruktura pocztowa: mail.internalhost.eu, mx2.internalhost.eu.
  • Nasz publiczny kod źródłowy na github.com/internalhost-eu.

Poza zakresem

  • Serwery klientów (VPS / dedykowane / kolokacja): należą do naszych klientów. Bez testów bez pisemnej zgody właściciela. Zastrzegamy prawo do zgłaszania nieautoryzowanych badań na IP klientów na policję.
  • Denial of Service i ataki wolumetryczne.
  • Spam, phishing, socjotechnika wobec naszego personelu albo klientów.
  • Teoretyczne problemy bez działającego Proof of Concept.
  • Wyniki automatycznych skanerów bez ręcznej weryfikacji („twój SSL nie ma A+ na Qualys" to nie jest podatność).
  • Problemy upstream w projektach open-source (Laravel, Filament, Paymenter, CloudPanel itp.) — zgłaszaj bezpośrednio do nich.

Do czego się zobowiązujemy

  • Odpowiadamy w ciągu 48 godzin, zwykle w ciągu 8 godzin roboczych.
  • Poważnie badamy i informujemy o postępie.
  • Nie podejmujemy działań prawnych przeciwko badaczom działającym w dobrej wierze według tej polityki.
  • Potwierdzone problemy dostają wzmiankę w hall of fame (jeśli chcesz) i osobiste podziękowanie przez Signal od Nicka.
  • Łatamy podatności przed publicznym ujawnieniem. Domyślne okno ujawnienia: 90 dni po potwierdzeniu, krócej gdy aktywnie eksploatowane.

Czego nie oferujemy

Bez programu bug-bounty z nagrodami pieniężnymi. Jesteśmy małym zespołem. Co dostajesz:

  • Publiczne uznanie na tej stronie (albo anonimowo, twój wybór).
  • Gadżety InternalHost (jak już je będziemy mieli).
  • Rozmowę o samym bugu, nie o priorytetach narzuconych przez managera.

Hall of fame

Badacze, którzy nam pomogli. Dzięki.

Na razie pusto — bądź pierwszy.