ISPsystem

Bug Bounty: Recompensa por errores

Programa de recompensas por la detección de errores y vulnerabilidades en los productos de la empresa ISPsystem Respetamos el trabajo de los cazadores de errores, ya que nos ayudan a mejorar las soluciones que desarrollamos. Para ello, hemos puesto en marcha un programa de recompensas por errores y vulnerabilidades confirmados. Puedes convertirte en participante del programa con solo unos clics. Lo principal es que la solicitud de participación cumpla con los criterios establecidos, y que el participante complete correctamente el informe y acepte la oferta.



Reportar un error
<span>Bug Bounty: Recompensa por errores</span>

Tipos de errores

200
Problemas que provocan el bloqueo de nuestros productos o la inoperabilidad de algún servicio como resultado de las acciones del usuario (no del administrador) a través del panel (por ejemplo, después de introducir un determinado valor).
$200#1
300
Problemas que permiten utilizar más recursos de los disponibles en el marco de la licencia adquirida en ISPsystem (violación del acuerdo de licencia de ISPsystem).
$300#2
300
Errores relacionados con la posibilidad de que un empleado ataque a otro empleado para realizar una acción que está directamente prohibida para el atacante. Por ejemplo, un administrador que ataca a otro administrador, o un ataque de un empleado de BILLmanager a un administrador de BILLmanager.
$300#3
600
Problemas de seguridad, si como resultado de ciertas acciones del usuario se pueden obtener datos de otro usuario.
$600#4
1200
Problema de seguridad, si como resultado de las acciones del usuario (no del administrador principal del panel de control) se pueden obtener derechos de administrador.
$1200#5
200 - 1200
Errores basados en ingeniería social, cuando un usuario privilegiado o cualquier otro debe realizar alguna acción: una operación específica o abrir una URL específica estando registrado en el sistema. Estos errores se consideran caso por caso. La recompensa depende de la probabilidad de que ocurra dicho evento o de lo poco evidentes que sean las consecuencias de realizar la acción o abrir la URL para la víctima.
$200 - $1200#6

Procedimiento para reportar errores





01
Al detectar un problema, el usuario debe preparar instrucciones claras paso a paso, así como indicar otras condiciones en las que surge el problema (el problema debe ser reproducible de manera estable), adjuntar registros del panel de control con el máximo nivel de depuración y enviar un mensaje al soporte técnico de nuestra empresa.
02
A continuación, el equipo de prueba verifica la existencia del problema y, en caso de confirmarse, lo registra en el sistema de errores.

El plazo de revisión de los mensajes es de 3 días hábiles.
03
El usuario que reportó el problema primero recibe la
recompensa inmediatamente después de confirmar el error.
La recompensa se realiza de acuerdo
con las disposiciones del Programa.

Reglas
y excepciones

Los errores cuya información ha llegado a fuentes abiertas no participan en el Programa.

La información sobre los errores se considera confidencial y no puede divulgarse sin el consentimiento del proveedor.

El pago se realiza solo después de cerrar la vulnerabilidad en los productos de la empresa, pero no más tarde de una semana desde el momento de la solicitud.

El participante del programa solo puede utilizar productos que estén en su posesión personal para buscar vulnerabilidades. Es decir, no consideramos problemas en los que el participante haya dañado instalaciones de terceros.

No consideramos situaciones en las que el administrador redujo conscientemente la seguridad de su servidor (por ejemplo, dejó su contraseña a la vista en el directorio principal de cada usuario).

No consideramos situaciones de detención artificial del servidor debido a un gran número de solicitudes con grandes cantidades de datos, equiparando este enfoque a un ataque DDOS clásico.

No pueden participar en el Programa los empleados actuales y anteriores de la empresa, así como sus familiares.

En caso de problema que permita utilizar más recursos de los disponibles en el marco de la licencia adquirida en ISPsystem (violación del acuerdo de licencia de ISPsystem). No consideramos soluciones basadas en modificaciones de archivos ejecutables incluidos en el producto.

¿Encontraste un error?

Complete un pequeño formulario para recibir su recompensa



Reportar un error
Reportar un error