$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Version 1.0 · Senast uppdaterad: 2026-05-19 · maskinläsbar: /.well-known/security.txt

Hittat en bugg, sårbarhet eller missbruk? Säg till. Vi värdesätter responsible disclosure och svarar inom 48 timmar — oftast snabbare.

Så rapporterar du

  • E-post: [email protected] — föredragen för skriftliga rapporter med reproducerbar PoC.
  • Signal: länk i footern. För realtids-triage eller när något aktivt utnyttjas.
  • PGP: inte publicerat än. Kommer när vi faktiskt får känsliga rapporter.

Inkludera minst i din rapport: steg för att reproducera, uppskattad påverkan, drabbad URL/hostname, kontaktuppgifter för uppföljning.

Inom scope

  • Produktionsinfrastruktur: *.internalhost.eu och allt som routas via AS204729 ().
  • Kundportal: den här webbplatsen (Paymenter).
  • Mailinfrastruktur: mail.internalhost.eu, mx2.internalhost.eu.
  • Vår publika källkod på github.com/internalhost-eu.

Utanför scope

  • Kundservrar (VPS / dedikerad / colocation): de tillhör våra kunder. Inga tester utan skriftligt tillstånd från ägaren. Vi förbehåller oss rätten att anmäla obehörig forskning på kund-IP:n till polisen.
  • Denial of Service och volymetriska attacker.
  • Skräppost, nätfiske, social engineering mot vår personal eller våra kunder.
  • Teoretiska brister utan fungerande Proof of Concept.
  • Automatiska scannerträffar utan manuell verifiering (”din SSL får inte A+ på Qualys” är inte en sårbarhet).
  • Uppströmsproblem i open source-projekt (Laravel, Filament, Paymenter, CloudPanel m.fl.) — rapportera dem direkt där.

Det vi lovar

  • Vi svarar inom 48 timmar, oftast inom 8 arbetstimmar.
  • Vi utreder seriöst och håller dig uppdaterad om läget.
  • Vi vidtar inga rättsliga åtgärder mot forskare som handlar i god tro och följer denna policy.
  • Bekräftade fynd får hall-of-fame-omnämnande (om du vill) och ett personligt Signal-tack från Nick.
  • Vi patchar sårbarheter innan publik offentliggörande. Standardfönster: 90 dagar efter bekräftelse, kortare när det utnyttjas aktivt.

Det vi inte erbjuder

Inget bug-bounty-program med kontantbelöningar. Vi är ett litet team. Det du faktiskt får:

  • Publikt omnämnande på den här sidan (eller anonymt, du väljer).
  • InternalHost-merch (när vi har nån).
  • Ett samtal om buggen i sig, inte om chefsdrivna prioriteringar.

Hall of fame

Forskare som hjälpt oss. Tack.

Tomt än så länge — bli först.