1. Encontre um problema de segurança
Localize um problema de segurança na plataforma Vultr, no portal do cliente ou em nossa API.
2. Escreva para nós.
Crie um relatório, incluindo etapas para reproduzir o bug, e anexe evidências adicionais, se necessário.
3. Receba uma recompensa!
Quanto maior a gravidade do problema, maior será o valor do pagamento.
O que é o escopo do programa de recompensa por bug?
Os sites da Vultr.com my.vultr.com, www.vultr.com, api.vultr.com estão todos dentro do escopo. As categorias aceitas incluem ataques de injeção, falhas de autenticação ou autorização, script entre sites, exposição de dados confidenciais, escalonamento de privilégios e outros problemas de segurança.
Quais problemas estão fora do escopo?
Instâncias de cliente
As instâncias do cliente Vultr.com não estão no escopo. Muitas instâncias têm nomes de host padrão ou DNS reverso terminados em "vultr.com", a presença disso não significa que um IP está no escopo Se você tiver alguma dúvida sobre se algo está ou não no escopo, entre em contato conosco antes de você tomar qualquer ação.
Ataques DDoS
Qualquer tipo de ataque DoS/DDoS é estritamente proibido.
Relatórios de verificação automatizada
Geralmente, eles são muito barulhentos, têm uma taxa de falsos positivos muito alta e não estão no escopo.
Clientes comprometidos
Bugs que exigem que o usuário seja comprometido ou tenha extensões de navegador mal-intencionadas não estão no escopo.
Sistemas operacionais
Vulnerabilidades nos sistemas operacionais que fornecemos não estão no escopo, a menos que o problema seja causado diretamente por modificações que fizemos nele.
Navegadores obsoletos
Tíquetes de suporte
Não envie um grande volume de tíquetes de suporte ou respostas. Isso pode causar atrasos para outros clientes com problemas reais.
Alterações de e-mail para contas não verificadas
Permitimos que os endereços de e-mail sejam alterados sem verificação antes que o usuário tenha financiado sua conta ou verificado seu e-mail. As proteções em torno de contas financiadas ou verificadas são significativamente mais fortes.
Vultr Marketplace
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
Endereços pontilhados do Gmail
Problemas relacionados à criação de várias contas de usuário no mesmo endereço do Gmail com pontos adicionados são considerados fora do escopo. Consulte o artigo de suporte do Google sobre o assunto aqui.
Cabeçalhos de segurança ausentes
Relatórios que indicam cabeçalhos ausentes (Content-Security-Policy e similares) ou sugestões de política DMARC não estão no escopo.
EXIF ou outros metadados em anexos a tickets
Os relatórios que indicam que o EXIF ou outros metadados não são removidos dos anexos dos tickets estão fora do âmbito.
Relatar um problema
Se você encontrar uma vulnerabilidade de segurança em qualquer lugar da plataforma Vultr, é nossa prioridade trabalhar com você para resolver o problema. Nossa equipe de engenharia revisará prontamente todos os pedidos de recompensa por bug e recompensará pela divulgação ética de exploits verificáveis. O nível da recompensa é determinado com base na gravidade, complexidade e escopo do exploit.
Os relatos elegíveis para compensação serão pagos com crédito na conta Vultr ou diretamente para o seu endereço do PayPal.
Recebemos seu relatório de erro.
Um membro da equipe de engenharia analisará e entrará em contato com você em breve.