1. Finden von Sicherheitsproblemen
Finden Sie ein Sicherheitsproblem mit der Vultr-Plattform, dem Kundenportal oder mit unserer API.
2. Schreiben Sie uns.
Erstellen Sie einen Bericht, notieren Sie die Schritte, um den Bug zu reproduzieren, und hängen Sie gegebenenfalls zusätzliche Nachweise an.
3. Erhalten Sie eine Belohnung!
Je höher der Schweregrad des Bugs ist, desto höher fällt die Auszahlung aus.
Was ist der Umfang des Bug-Bounty-Programms?
Die Websites von Vultr.com my.vultr.com, www.vultr.com, api.vultr.com gehören alle zum Umfang. Die akzeptierten Kategorien umfassen Injection-Angriff, Authentifizierungs- oder Autorisierungsfehler, Cross-Site-Scripting, Offenlegung vertraulicher Daten, Eskalation von Berechtigungen und weitere Sicherheitsprobleme.
Welche Probleme liegen außerhalb des Umfangs??
Kundeninstanzen
Kundeninstanzen auf vultr.com sind nicht im Umfang enthalten. Viele Instanzen verfügen über Standard-Hostnamen oder Reverse-DNS-Einträge, die auf "vultr.com" enden. Dies schließt jedoch nicht mit ein, dass eine IP-Adresse im Umfang enthalten ist. Bei Fragen, ob etwas im Umfang enthalten ist oder nicht, kontaktieren Sie uns bitte, bevor Sie irgendeine Handlung vornehmen.
DDoS-Angriffe
Jegliche Arten von DoS-/DDoS-Angriffen sind strikt untersagt.
Automatisierte Scan-Berichte
Die Erstellung dieser nicht im Umfang enthaltenen Berichte ist im Allgemeinen sehr laut und die Falsch-Positiv-Rate ist sehr hoch.
Kompromittierte Kunden
Bugs, die es erforderlich machen, dass der Benutzer kompromittiert wird oder bösartige Browser-Erweiterungen vorhanden sind, sind nicht im Umfang enthalten.
Betriebssysteme
Schwachstellen in den von uns bereitgestellten Betriebssystemen sind nicht im Umfang enthalten, sofern das Problem nicht direkt durch Änderungen verursacht werden, die wir daran vorgenommen haben.
Veraltete Browser
Exploits, die erfordern, dass der Endnutzer einen nicht aktualisierten oder veralteten Browser nutzt, sind nicht im Umfang enthalten.
Supporttickets
Bitte verzichten Sie auf das Senden einer Vielzahl an Supporttickets oder Antworten. Dies kann zu Verzögerungen für andere Kunden mit aktuellen Problemen führen.
E-Mail-Änderungen für nicht verifizierte Konten
Wir gestatten das Ändern von E-Mail-Adressen ohne Überprüfung, bevor ein Benutzer sein Konto bezahlt oder seine E-Mail-Adresse verifiziert hat. Die Schutzmaßnahmen für bezahlte oder verifizierte Konten sind erheblich stärker.
Vultr Marketplace
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
Gmail-Adressen mit Punkten
Probleme im Zusammenhang mit der Erstellung mehrerer Benutzerkonten mit derselben Gmail-Adresse mit hinzugefügten Punkten werden als nicht im Umfang enthalten betrachtet. Bitte lesen Sie zu diesem Thema hier den Supportartikel von Google.
Fehlende Security Header
Berichte, die auf fehlende Header hinweisen (Content Security Policy und vergleichbare), oder Vorschläge von DMARC-Richtlinien sind nicht im Umfang enthalten.
EXIF or other metdata in ticket attachments
Reports indicating that EXIF or other metadata are not stripped from ticket attachments are not in scope.
Problem melden
Wenn Sie auf der Vultr-Plattform eine Sicherheitslücke entdecken, hat es für uns Priorität, dieses Problem gemeinsam mit Ihnen zu beheben. Unser Technikerteam wird sich umgehend um alle Bug-Bounty-Einsendungen kümmern und die Einsender für die ethisch richtige Offenlegung nachprüfbarer Schwachstellen vergüten. Die Höhe der Entschädigung richtet sich nach Schweregrad, Komplexität und Umfang der Schwachstelle.
Die Vergütung für berechtigte Einsendungen wird als Gutschrift auf das Vultr-Konto oder direkt auf Ihr PayPal-Konto ausbezahlt.
Wir haben Ihren Bug-Report erhalten.
Ein Mitglied des Technikerteams wird sich darum kümmern und sich in Kürze mit Ihnen in Verbindung setzen.