1. Encuentre un problema de seguridad
Localice un problema de seguridad en la plataforma de Vultr, el portal del cliente o nuestra API.
2. Escríbanos.
Elabore un informe, incluidos los pasos para reproducir el error, y adjunte evidencia adicional si es necesario.
3. ¡Obtenga una recompensa!
Cuanto mayor sea la gravedad del error, mayor será el valor del pago.
¿Cuál es el alcance del Programa de informe de errores?
Los sitios web de Vultr.com my.vultr.com, www.vultr.com, api.vultr.com están todos incluidos. Las categorías aceptadas incluyen ataques por inyección, fallas de autenticación o autorización, secuencia de comandos en sitios cruzados, exposición de datos confidenciales, escalada de privilegios y otros problemas de seguridad.
¿Qué problemas están fuera del alcance??
Instancias de clientes
Las instancias de clientes de Vultr.com no están incluidas. Muchas instancias tienen por defecto terminaciones de nombres de host o de DNS inverso en "vultr.com", la presencia de ello no implica que una IP esté incluida. Si tiene alguna pregunta acerca de si algo está incluido o no, comuníquese con nosotros antes de tomar alguna medida.
Ataques DDoS
Está estrictamente prohibido cualquier tipo de ataque por denegación de servicio (Denial of Service, DoS) o ataque por denegación de servicio distribuido (Distributed Denial of Service, DDoS).
Informes de análisis automatizados
Por lo general, son muy ruidosos y tienen una alta tasa de falsos positivos; no están incluidos.
Clientes en riesgo
Los errores que requieran poner en riesgo al usuario o que tengan extensiones maliciosas en el navegador no están incluidos.
Sistemas operativos
Las vulnerabilidades en los sistemas operativos que ofrecemos no están incluidas, a menos que el problema resulte directamente de modificaciones que hayamos implementado.
Navegadores obsoletos
Vales de soporte técnico
No envíe una gran cantidad de respuestas o vales de soporte técnico. Pueden causar demoras para otros clientes con problemas reales.
Cambios de correo electrónico para cuentas no verificadas
Permitimos que se cambien las direcciones de correo electrónico sin verificación antes de que el usuario haya financiado su cuenta o verificado su correo electrónico. Las protecciones relacionadas con las cuentas financiadas o verificadas son significativamente mayores.
Vultr Marketplace
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
Direcciones de Gmail separadas por puntos
Los problemas relacionados con la creación de varias cuentas de usuario con la misma dirección de Gmail con puntos no están incluidos. Consulte el artículo de soporte técnico de Google al respecto aquí.
Omisión de encabezados de seguridad
Los informes que indiquen omisión de encabezados (política de seguridad del contenido y similares) o sugerencias de la política de autenticación de mensajes, informes y conformidad basada en dominios (Domain-based Message Authentication, Reporting and Conformance, DMARC) no están incluidos.
EXIF or other metdata in ticket attachments
Reports indicating that EXIF or other metadata are not stripped from ticket attachments are not in scope.
Informar un problema
Si encuentra una vulnerabilidad en la seguridad en alguna otra parte de la plataforma de Vultr, nuestra prioridad es trabajar con usted para resolver el problema. Nuestro equipo de ingeniería revisará de inmediato todas las presentaciones de informes de errores y compensará a las personas en concepto de la divulgación ética de vulnerabilidades verificables. El nivel de premio se determina con base en la gravedad, la complejidad y el alcance de la vulnerabilidad.
Los informes elegibles para la compensación se pagarán con crédito de la cuenta de Vultr o se enviarán a su dirección de PayPal.
Hemos recibido su informe de error.
Un miembro del equipo de ingeniería lo revisará y se pondrá en contacto con usted pronto.