Os sites da Vultr.com my.vultr.com, www.vultr.com, api.vultr.com estão todos dentro do escopo. As categorias aceitas incluem ataques de injeção, falhas de autenticação ou autorização, script entre sites, exposição de dados confidenciais, escalonamento de privilégios e outros problemas de segurança.
As instâncias do cliente Vultr.com não estão no escopo. Muitas instâncias têm nomes de host padrão ou DNS reverso terminados em "vultr.com", a presença disso não significa que um IP está no escopo Se você tiver alguma dúvida sobre se algo está ou não no escopo, entre em contato conosco antes de você tomar qualquer ação.
Qualquer tipo de ataque DoS/DDoS é estritamente proibido.
Geralmente, eles são muito barulhentos, têm uma taxa de falsos positivos muito alta e não estão no escopo.
Bugs que exigem que o usuário seja comprometido ou tenha extensões de navegador mal-intencionadas não estão no escopo.
Vulnerabilidades nos sistemas operacionais que fornecemos não estão no escopo, a menos que o problema seja causado diretamente por modificações que fizemos nele.
Não envie um grande volume de tíquetes de suporte ou respostas. Isso pode causar atrasos para outros clientes com problemas reais.
Permitimos que os endereços de e-mail sejam alterados sem verificação antes que o usuário tenha financiado sua conta ou verificado seu e-mail. As proteções em torno de contas financiadas ou verificadas são significativamente mais fortes.
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
Problemas relacionados à criação de várias contas de usuário no mesmo endereço do Gmail com pontos adicionados são considerados fora do escopo. Consulte o artigo de suporte do Google sobre o assunto aqui.
Relatórios que indicam cabeçalhos ausentes (Content-Security-Policy e similares) ou sugestões de política DMARC não estão no escopo.
Os relatórios que indicam que o EXIF ou outros metadados não são removidos dos anexos dos tickets estão fora do âmbito.
Se você encontrar uma vulnerabilidade de segurança em qualquer lugar da plataforma Vultr, é nossa prioridade trabalhar com você para resolver o problema. Nossa equipe de engenharia revisará prontamente todos os pedidos de recompensa por bug e recompensará pela divulgação ética de exploits verificáveis. O nível da recompensa é determinado com base na gravidade, complexidade e escopo do exploit.
Os relatos elegíveis para compensação serão pagos com crédito na conta Vultr ou diretamente para o seu endereço do PayPal.
Um membro da equipe de engenharia analisará e entrará em contato com você em breve.