Versões traduzidas de contratos e políticas são fornecidas apenas como uma conveniência e para facilitar a leitura e compreensão das versões em inglês. Estas versões traduzidas não têm validade jurídica e não substituem os documentos originais na língua inglesa. Em caso de conflito a versão em inglês prevalecerá.
Última Revisão: 2024-08-29 08:05:10
POLÍTICA DE DIVULGAÇÃO RESPONSÁVEL
A HOSTINGER incentiva a divulgação responsável de vulnerabilidades de segurança em seus serviços ou em seu site. Para facilitar a divulgação responsável das vulnerabilidades de segurança, a HOSTINGER concorda que, caso conclua, a seu critério exclusivo, que uma divulgação atende a todas as diretrizes do seu Programa de Recompensa por Bugs, nenhuma ação judicial privada ou penal será movida contra a parte relatora.
POLÍTICA E TERMOS DO PROGRAMA DE RECOMPENSA POR BUGS (ERROS)
A equipe de especialistas em segurança da HOSTINGER trabalha constantemente para manter as informações dos clientes seguras. A HOSTINGER reconhece o importante papel que os pesquisadores de segurança e sua comunidade de usuários desempenham para manter a HOSTINGER e seus clientes seguros. Caso alguma vulnerabilidade de um site ou produto seja identificada, notifique a equipe da HOSTINGER usando as diretrizes dispostas abaixo.
TERMOS DO PROGRAMA
Observe que a participação no Programa de Recompensas por Bugs (Erros) é voluntária e está sujeita aos termos e condições estabelecidos nesta página, doravante denominada simplesmente TERMOS DO PROGRAMA. Ao relatar vulnerabilidade de um site ou produto à HOSTINGER, você declara que leu e concordou com os TERMOS DO PROGRAMA aqui dispostos.
Estes TERMOS DE PROGRAMA complementam os termos do Contrato Universal de Termos de Serviço e Política de Privacidade da HOSTINGER e qualquer outro contrato que tenha sido celebrado com a HOSTINGER. Os termos desses contratos da HOSTINGER serão aplicados ao uso e à participação do Programa de Recompensas por Bugs integralmente dispostos aqui. Caso haja alguma inconsistência entre os termos do Contrato Universal de Termos de Serviço da Hostinger, a Política de Privacidade e os presentes TERMOS DE PROGRAMA, os TERMOS DE PROGRAMA prevalecerão, mas apenas no que diz respeito ao Programa de Recompensas por Bugs.
Para incentivar divulgações responsáveis, a HOSTINGER se compromete a não mover nenhuma ação judicial privada contra a parte relatora ou requisitar uma consulta pública caso conclua, a seu critério exclusivo, que a divulgação cumpre com todas as diretrizes destes TERMOS DO PROGRAMA, com a Política de Privacidade e com o Contrato Universal de Termos de Serviços.
Como parte de pesquisa, nenhum arquivo ou dado, incluindo permissões, deverá ser modificado, visualizado ou acessado de maneira intencional além do que é necessário para comprovar a vulnerabilidade.
A HOSTINGER se esforçará ao máximo para cumprir as seguintes etapas de resposta:
Tipo de resposta | Dias úteis |
Primeira resposta | 2 dias úteis |
Tempo para a Triagem | 10 dias úteis |
Tempo para a recompensa | 14 dias úteis |
Tempo para a resolução | a depender da severidade e complexidade |
CREDENCIAIS DE TESTE
A fim de evitar abusos na utilização das credenciais compartilhadas para testes, elas não serão compartilhadas. Os participantes do PROGRAMA DE RECOMPENSA POR BUGS precisarão registrar uma nova conta e solicitar um plano de hospedagem compartilhada Single. A HOSTINGER oferecerá cupons de desconto para os participantes do programa que cobrirão todos os custos de um plano de hospedagem Single por um mês. Os participantes interessados em testar as aplicações web da HOSTINGER podem entrar em contato com a equipe de segurança pelo endereço eletrônico security@hostinger.com para resgatar um cupom de desconto gratuito. Vale ressaltar que a parte interessada não deve esquecer de inserir o nome de usuário do perfil HackerOne, o e-mail utilizado para criar uma conta Hostinger e um breve comunicado de que está participando do PROGRAMA DE RECOMPENSA POR BUGS pela plataforma HackerOne e a HOSTINGER enviará um cupom de desconto que cobrirá todos os gastos com o plano de hospedagem Single por um mês.
ABAIXO ESTÃO LISTADOS OS DOMÍNIOS DA HOSTINGER NO ESCOPO DO PROGRAMA:
- www.hostinger.com
- hpanel.hostinger.com
- cpanel.hostinger.com
- payments.hostinger.com
- builder.hostinger.com
- www.niagahoster.co.id
Os domínios não listados acima não estão no escopo.
NOVA INFRAESTRUTURA DE HOSPEDAGEM - H5G
Estamos introduzindo um novo escopo de testes para nossa Infraestrutura de Hospedagem, adaptado para sites WordPress. Esta infraestrutura está em fase de testes, e convidamos pesquisadores a nos ajudar a identificar possíveis vulnerabilidades.
Para participar dos testes de nossa Infraestrutura de Hospedagem, por favor, envie um e-mail para security@hostinger.com com o assunto “H5G Infrastructure Testing Request”. No seu e-mail, inclua o endereço de e-mail que você usou para se registrar no Hpanel.
NOTA: O recurso de gerenciador de acesso não está implementada no H5G. Por esta razão, todos os problemas relacionados a ela são classificados como VULNERABILIDADES NÃO QUALIFICADAS.
Como nossa infraestrutura H5G está atualmente na fase de testes, os valores das recompensas são menores em comparação com nossos outros escopos.
REQUISITOS DE ELEGIBILIDADE
Para ser elegível para o Programa de Recompensas por Bugs, a pessoa relatora não deverá:
- Violar nenhuma lei ou regulação nacional, estadual ou local;
- Ser funcionária da Hostinger ou de suas empresas subsidiárias;
- Ser parente de primeiro grau de uma pessoa empregada pela Hostinger ou por suas subsidiárias ou afiliadas; ou
- Ter menos de 16 anos. Caso a pessoa relatora tenha 16 anos, mas seja considerada relativamente incapaz em seu país de residência, será necessária autorização dos pais ou responsáveis legais para participar do programa.
Caso a pessoa relatora atenda a algum dos critérios acima, a HOSTINGER cessará a participação no Programa de Recompensas por Bugs e a desqualificará do recebimento de quaisquer Pagamentos de Recompensas.
DIRETRIZES DE DIVULGAÇÃO
Ao enviar um Relatório ou concordar com os TERMOS DO PROGRAMA, a pessoa relatora concorda em não divulgar publicamente suas conclusões ou o conteúdo de seu RELATÓRIO a terceiros, sob quaisquer circunstâncias, sem antes obter autorização por escrito da Hostinger.
O não cumprimento dos TERMOS DO PROGRAMA resultará na desqualificação imediata do Programa de Recompensas por Bugs e na inelegibilidade para receber quaisquer Pagamentos de Recompensas.
VULNERABILIDADES QUALIFICADAS
A HOSTINGER aceitará um relatório de qualquer vulnerabilidade que afete substancialmente a confidencialidade ou integridade de qualquer serviço elegível. As vulnerabilidades elegíveis incluem, entre outras:
- Autenticação ou falhas de autorização, incluindo referências inseguras de objetos diretos e desvio de autenticação
- Injeções de código ou execução remota de código (RCE)
- Ataques de injeção, incluindo SQL e injeção de XML
- Directory Traversal
- Escalonamento de Privilégios
- Divulgação de informações sensíveis ou pessoalmente identificáveis
- Má configuração significativa da segurança com uma vulnerabilidade verificável
- Credenciais de sistema expostas, divulgadas pela HOSTINGER ou seus funcionários, que representem um risco válido para um bem em escopo
VULNERABILIDADES NÃO QUALIFICADAS
Qualquer domínio não listado no escopo da política está fora do escopo para os propósitos do Programa de Recompensas por Bugs, assim como todo o conteúdo de clientes hospedados e programas e plugins de terceiros.
As seguintes ações não se qualificam para o Programa de Recompensas por Bugs e não devem ser testadas pelos pesquisadores que participam do Programa:
- Relatórios que envolvam uma conta de usuário secundária onde uma relação comercial existente é alavancada e o impacto é limitado apenas à conta principal
- Enumeração de nomes de usuário em sistemas voltados ao cliente (ou seja, usar respostas do servidor para determinar se uma conta existe)
- Resultados de varreduras ou relatórios gerados por mecanismos de varredura, incluindo qualquer ferramenta de exploração automatizada ou ativa
- Ataques "man-in-the-middle"
- Qualquer ataque físico contra a propriedade da HOSTINGER ou seus servidores
- Cross Site Scripting (XSS)
- Falsificação de pedido de local cruzado (CSRF)
- Clickjacking
- Vulnerabilidades que envolvem credenciais roubadas ou acesso físico a um dispositivo
- Ataques de Phishing
- Ataques de engenharia social, incluindo aqueles que visam ou imitam funcionários internos por qualquer meio (por exemplo, recursos de chat de atendimento ao cliente, mídia social, domínios pessoais, etc.)
- Redirecionamento aberto, exceto para as seguintes circunstâncias:
- Ao clicar em um URL da HOSTINGER, ocorre imediatamente um redirecionamento inesperado e perda de dados sensíveis (como tokens de sessão, informações pessoalmente identificáveis (PII), etc.)
- Ataques CRIME/BEAST
- Logout CSRF
- Divulgação de banner ou versão
- Falta de Registros SPF
- Listagem de diretórios (a menos que dados sensíveis possam ser encontrados)
- Ataques DoS, ataques de força bruta, ataques de enumeração de usuários ou ataques DDoS
- Técnicas Black hat de SEO
- Qualquer outro relatório determinado como de baixo risco, baseado em vetores de ataque improváveis ou teóricos, que exija interação significativa do usuário, ou resultando em impacto mínimo
- Vulnerabilidades em bibliotecas de terceiros sem mostrar impacto específico para a aplicação alvo (por exemplo, um CVE sem exploração)
- Credenciais expostas que ou não são mais válidas ou não representam um risco para um bem em escopo
- Qualquer bug que dependa de um navegador desatualizado
- Vulnerabilidades de infraestrutura, incluindo o seguinte:
- Problemas relacionados aos certificados SSL
- Problemas de configuração do DNS
- Problemas de configuração do servidor (por exemplo, portas abertas, versões TLS, etc.)
- Bugs (erros) que exigem interação muito improvável do usuário.
- Requisitos inseguros de complexidade da senha
- Problemas de verificação/validação por e-mail
- Bugs de qualidade e lógica comercial que não representam risco real e não impactam os negócios e clientes de uma forma que poderia levar ao acesso não autorizado a dados ou sistemas, e também quando não há possibilidade de aproveitar o bug para causar algum tipo de dano aos sistemas ou dados da empresa.
- Vulnerabilidades na infraestrutura de clientes individuais ou servidores privados virtuais (VPS), incluindo sites, bancos de dados, etc.
- Hackear cupons de desconto
- Links corrompidos
REQUISITOS PARA O ENVIO DE RELATÓRIOS DE BUGS
Informações necessárias
Todos os relatórios devem conter:
- Descrição completa da vulnerabilidade relatada, incluindo a possibilidade de exploração e o impacto dela
- Provas e explicação de todas as etapas necessárias para reproduzir o relatório, que pode incluir:
- Vídeos ou capturas de tela para registro do passo a passo
- Código de exploração
- Registros de tráfego
- Pedidos e respostas Web/API
- Endereço de e-mail ou ID de usuário de qualquer conta teste
- Endereço IP usado durante os testes
- Para submissão de relatórios de RCE, confira abaixo
A não inclusão de qualquer um dos itens acima pode atrasar ou comprometer o Pagamento de Recompensas.
DIRETRIZES PARA A EXECUÇÃO REMOTA DE CÓDIGO(RCE)
O não cumprimento das condições e exigências abaixo pode resultar na perda de qualquer potencial pagamento de recompensa.
- Endereço IP de origem
- Registro de data e hora, incluindo o fuso horário
- Solicitações e respostas completas do servidor
- Nomes de qualquer arquivo carregado, que deve conter "bugbounty" e o registro de data e hora
- IP e porta de callback, se aplicável
- Qualquer dado que tenha sido acessado, deliberada ou acidentalmente
Ações permitidas:
- Injetar diretamente comandos benignos por meio de aplicação web ou interface (como whoami, hostname, ifconfig)
- Carregamento de um arquivo que gera o resultado de um comando benigno codificado
Ações Proibidas:
- Carregamento de arquivos que permitem comandos arbitrários (como um webshell)
- Modificação de quaisquer arquivos ou dados, incluindo permissões
- Eliminação de quaisquer arquivos ou dados
- Interrupção das operações normais (por exemplo, acionar uma reinicialização)
- Criação e manutenção de uma conexão persistente com o servidor
- Visualizar intencionalmente quaisquer arquivos ou dados além do que é necessário para comprovar a vulnerabilidade
- Não revelar as ações tomadas ou informações necessárias aplicáveis
PAGAMENTOS DE RECOMPENSAS
A parte relatora poderá ser elegível para receber uma recompensa em dinheiro, doravante denominada simplesmente PAGAMENTO DE RECOMPENSA, caso: (i) seja a primeira pessoa a submeter uma vulnerabilidade do site ou produto; (ii) essa vulnerabilidade seja determinada um problema de segurança válido pela equipe de segurança da HOSTINGER; e (iii) a parte relatora tenha cumprido todos os TERMOS DO PROGRAMA.
Os PAGAMENTOS DE RECOMPENSA, caso elegíveis, serão determinados pela HOSTINGER, a seu exclusivo critério. Em nenhum caso a HOSTINGER será obrigada a pagar uma recompensa à parte relatora por qualquer RELATÓRIO enviado. Todos os PAGAMENTOS DE RECOMPENSAS serão realizados a título gratuito.
Todos os PAGAMENTOS DE RECOMPENSA serão feitos em dólares dos Estados Unidos (USD). A parte relatora será responsável por quaisquer implicações fiscais relacionadas aos PAGAMENTOS DE RECOMPENSAS que receber, conforme determinado pela legislação de seu país de residência ou cidadania.
A Hostinger determinará todos os PAGAMENTOS DE RECOMPENSAS com base no risco e impacto da vulnerabilidade. O valor mínimo de recompensa por envio de relatório de bug validado é de US$ 100 (cem dólares) e o valor máximo é de US$ 6.000 (seis mil dólares).
A EQUIPE DE PAGAMENTOS DE RECOMPENSAS DA HOSTINGER se reserva o direito de determinar se o relatório de bug enviado ao PROGRAMA DE RECOMPENSA POR BUGS é elegível. Todas as determinações quanto ao valor de uma recompensa feitas pela EQUIPE DE PAGAMENTOS DE RECOMPENSAS DA HOSTINGER são definitivas. As faixas de PAGAMENTO DE RECOMPENSAS são baseadas na classificação e na sensibilidade dos dados impactados, facilidade de exploração e risco geral para os clientes e marcas da HOSTINGER, que são considerados um problema de segurança válido pelos engenheiros de segurança da HOSTINGER.
Retestes. Por favor, note que nos reservamos o direito de solicitar ou recusar a retestes de problemas relatados a nosso critério, com base em nossa avaliação interna e prioridades. Nossa decisão levará em conta fatores como a gravidade do problema, a qualidade do relatório inicial e nossa disponibilidade de recursos no momento. Para reconhecer o esforço adicional envolvido na reavaliação, oferecemos recompensas de reavaliação da seguinte forma: (i) Problemas de Baixa e Média Gravidade: $50 USD; (ii) Problemas de Alta e Crítica Gravidade: $100 USD.
PROPRIEDADE DOS RELATÓRIOS ENVIADOS
Como condição de participação no PROGRAMA DE RECOMPENSA POR BUG, a parte relatora concede à HOSTINGER e às suas subsidiárias, afiliadas e clientes uma licença perpétua, irrevogável, global, livre de royalties, transferível, sublicenciável (por meio de múltiplos níveis) e não exclusiva para usar, reproduzir, adaptar, modificar, publicar, distribuir, executar publicamente, criar obra derivada, usar, vender, oferecer para venda e importar o RELATÓRIO, bem como qualquer material enviado à HOSTINGER juntamente com o supramencionado relatório, para qualquer finalidade. A parte relatora não deverá enviar às HOSTINGER nenhum RELATÓRIO que não deseje ceder a licença à ela.
Por meio destes TERMOS DO PROGRAMA, a parte relatora declara e garante que o RELATÓRIO é original e a parte relatora detém o Direito, Título e Interesse do e para o envio do RELATÓRIO. Além disso, a parte relatora, por meio deste, renuncia a todas as outras reivindicações de qualquer natureza, incluindo contrato expresso, contrato de fato, ou quasi-contrato, decorrentes de qualquer divulgação do RELATÓRIO enviado à HOSTINGER. Em nenhuma hipótese a HOSTINGER será impedida de discutir, revisar, desenvolver para si ou para terceiros, ou de já ter desenvolvido materiais que sejam competitivos com aqueles estabelecidos no RELATÓRIO, independentemente de sua similaridade com as informações do RELATÓRIO, desde que a HOSTINGER cumpra com os termos de participação determinados nestes TERMOS DO PROGRAMA.
RESCISÃO
Caso (i) a pessoa relatora viole qualquer um destes TERMOS DO PROGRAMA ou os termos e condições da HOSTINGER; ou (ii) a Hostinger determine, a seu exclusivo critério, que sua participação contínua no PROGRAMA DE RECOMPENSA POR BUGS possa afetar negativamente a HOSTINGER (incluindo, por exemplo, apresentar qualquer ameaça aos sistemas, à segurança, às finanças e/ou à reputação da empresa), a HOSTINGER poderá imediatamente encerrar participação da parte relatora no PROGRAMA DE RECOMPENSA POR BUGS e impedi-la de receber quaisquer PAGAMENTOS DE RECOMPENSA. Confira as recomendações da equipe Hostinger sobre os procedimentos adequados para testar nossas aplicações.
CONFIDENCIALIDADE
Quaisquer informações que a parte relatora receber ou coletar da HOSTINGER, de seus funcionários ou de qualquer um dos seus clientes através deste programa, doravante denominadas simplesmente INFORMAÇÕES CONFIDENCIAIS, deverão ser mantidas em sigilo e usadas somente com relação ao PROGRAMA DE RECOMPENSA POR BUGS, A parte relatora não poderá usar, divulgar ou distribuir quaisquer INFORMAÇÕES CONFIDENCIAIS, incluindo, por exemplo, qualquer informação relacionada ao RELATÓRIO e informações obtidas ao pesquisar os sites da HOSTINGER, sem o consentimento expresso e prévio da HOSTINGER. Qualquer divulgação de INFORMAÇÕES CONFIDENCIAIS fora desta exigência resultará na remoção imediata do PROGRAMA.
INDENIZAÇÃO
Além de quaisquer obrigações de indenização que a parte relatora possa ter sob os Contratos da HOSTINGER, a parte relatora concorda em defender, indenizar e manter a HOSTINGER, suas subsidiárias, afiliadas e os diretores, agentes, joint ventures, funcionários, bem comoos fornecedores da HOSTINGER, suas subsidiárias ou afiliadas isentas de qualquer pedido ou demanda (incluindo honorários advocatícios) feita ou incorrida por terceiros ou decorrente dos RELATÓRIOS criados pela parte relatora, sua violação destes TERMOS DO PROGRAMA e/ou seu uso impróprio do PROGRAMA DE RECOMPENSA POR BUGS.
ALTERAÇÕES NOS TERMOS DO PROGRAMA
A HOSTINGER poderá alterar ou suspender o PROGRAMA DE RECOMPENSAS POR BUGS, incluindo suas políticas, a qualquer momento e sem aviso prévio. Desta forma, a HOSTINGER poderá alterar estes TERMOS DE PROGRAMA e/ou suas políticas a qualquer momento, publicando uma versão revisada em seu site. Ao continuar a participação no PROGRAMA DE RECOMPENSAS POR BUGS, a parte relatora concorda com os TERMOS DO PROGRAMA já modificados e publicados.