$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Версія 1.0 · Остання оновлено: 2026-05-19 · machine-readable: /.well-known/security.txt

Знайшов баг, вразливість або зловживання? Скажи нам. Цінуємо responsible disclosure і відповідаємо протягом 48 годин — зазвичай швидше.

Як повідомити

  • Email: [email protected] — перевага для письмових звітів з відтворюваним PoC.
  • Signal: посилання у футері. Для triage в реальному часі або коли активно експлуатується.
  • PGP: ще не опубліковано. Буде, коли реально почнемо отримувати чутливі звіти.

У звіті щонайменше: кроки відтворення, оцінка впливу, постраждалий URL/hostname, контактні дані для follow-up.

У межах

  • Продакшен-інфраструктура: *.internalhost.eu і все, що маршрутизується через AS204729 ().
  • Кабінет клієнта: цей сайт (Paymenter).
  • Поштова інфраструктура: mail.internalhost.eu, mx2.internalhost.eu.
  • Наш публічний код на github.com/internalhost-eu.

Поза межами

  • Сервери клієнтів (VPS / виділені / колокація): належать нашим клієнтам. Без тестування без письмового дозволу власника. Залишаємо за собою право повідомляти про несанкціоновані дослідження на IP клієнтів у поліцію.
  • Denial of Service і обʼємні атаки.
  • Спам, фішинг, соціальна інженерія проти нашого персоналу чи клієнтів.
  • Теоретичні питання без робочого Proof of Concept.
  • Знахідки автоматичних сканерів без ручної перевірки («твій SSL не має A+ на Qualys» — це не вразливість).
  • Проблеми upstream у open-source проєктах (Laravel, Filament, Paymenter, CloudPanel тощо) — повідомляй їм безпосередньо.

До чого ми зобовʼязуємось

  • Відповідаємо протягом 48 годин, зазвичай протягом 8 робочих годин.
  • Серйозно досліджуємо і тримаємо в курсі прогресу.
  • Не подаємо в суд на дослідників, що діють у добрій вірі за цією політикою.
  • Підтверджені проблеми отримують згадку в hall of fame (якщо хочеш) і особисту подяку від Ніка в Signal.
  • Латаємо вразливості до публічного розкриття. Стандартне вікно розкриття: 90 днів після підтвердження, коротше при активній експлуатації.

Чого ми не пропонуємо

Без bug-bounty програми з грошовими винагородами. Ми мала команда. Що отримуєш:

  • Публічне визнання на цій сторінці (або анонімно, твій вибір).
  • Мерч InternalHost (як тільки будемо мати).
  • Розмову про сам баг, а не про пріоритети, керовані менеджером.

Hall of fame

Дослідники, які нам допомогли. Дякуємо.

Поки порожньо — будь першим.