Vultr.com Web サイト my.vultr.com, www.vultr.com, api.vultr.com 全体がスコープ内にあります。受け入れ対象のカテゴリとして、インジェクション攻撃、認証または承認の欠陥、クロスサイト スクリプティング、機密データの漏洩、特権の昇格、その他の問題を挙げることができます。
Vultr.com の顧客インスタンスはスコープ内にありません。多くのインスタンスはデフォルトのホスト名を使用しているか、"vultr.com" で終わる逆引き DNS を使用しており、このような命名法を使用しているという事実は、IP がスコープ内にあるという考え方を暗示しません。特定の要素がスコープ内にあるかどうかに関する疑問がある場合、何か行動を起こす前に、Vultr にお問い合わせください。
あらゆる種類の DoS/DDoS 攻撃は厳格に禁止されています。
これらのレポートは一般的にノイズが非常に多く、偽陽性 (誤検出) の比率も高く、スコープ内にありません。
開発ユーザーのセキュリティが侵害されていること、または開発ユーザーが悪意のあるブラウザー拡張機能を使用していることを前提とするバグは、スコープ内にありません。
Vultr が提供するオペレーティング システム内に存在する脆弱性は、Vultr が加えた変更によって直接引き起こされた問題ではない限り、スコープ内にありません。
エンド ユーザーが非常に古いまたはレガシーの Web ブラウザーを使用していることを前提とするエクスプロイト (悪用) は、スコープ内にありません。
大量のサポート チケットや返信を送信しないでください。このような送信を行うと、実際の問題を抱えている他の顧客への対応が遅くなる可能性があります。
Vultr は、開発ユーザーが自分のアカウントに関するお支払いを行う前、または自分のメール アドレスの検証を実施する前に、開発ユーザーが検証なしでメール アドレスを変更することを許可しています。お支払い済みまたは検証実施済みのアカウントに対する保護策は、かなり強力です。
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
同じ Gmail アドレスを使用し、ドットを追加して複数の開発ユーザー アカウントを作成する方法に関連する問題は、スコープ外であるとみなされます。この題名を使用している Google のサポート記事を参照してください。
(Content-Security-Policy または類似) ヘッダーの欠落を示すレポート、または DMARC ポリシーの推奨を示すレポートは、スコープ内にありません。
EXIFまたはその他のメタデータがチケットの添付ファイルから削除されないというご報告は賞金対象外となります。
お客様が Vultr プラットフォーム上でセキュリティの脆弱性を見つけた場合、お客様と協力してその問題を解決することが Vultr の優先事項になります。Vultr のエンジニアリング チームはすべてのバグ バウンティ送信をすぐに確認し、確認可能なエクスプロイト (悪用) が倫理的な方法で開示された場合は報告者の方に報酬をお支払いします。報酬の水準は、エクスプロイト (悪用) の重大度、複雑さ、スコープに基づいて決定します。
報酬に値する報告に対して、Vultr アカウントのクレジット、またはお客様の PayPal アドレスへの振り込みという形でお支払いします。
Vultr エンジニアリング チームの 1 人のメンバーがその内容を確認し、短時間のうちにお客様にご連絡を差し上げます。