BitVPS
راه‌اندازی سرور

افشای امنیتی

چگونه یک آسیب‌پذیری امنیتی در زیرساخت یا خدمات ما را گزارش دهید، و بعد چه اتفاقی می‌افتد.

مؤثر از 2026-04-01 آخرین به‌روزرسانی 2026-04-22 نسخه v2.0 امضاشده با 0xA62AEDAF647EE3E6
BitVPS legal and policy seal

گزارش آسیب‌پذیری

اگر معتقدید آسیب‌پذیری امنیتی‌ای را کشف کرده‌اید که بر bitvps.io یا زیرساخت پایه تأثیر می‌گذارد، لطفاً از طریق یکی از کانال‌های زیر گزارش دهید:

  • ایمیل — us، ترجیحاً رمزنگاری‌شده با PGP با کلید عمومی ما.
  • security.txt — تماس ماشین‌خوان در /.well-known/security.txt طبق RFC 9116.
  • HackerOne خصوصی — با دعوت‌نامه؛ نام کاربری HackerOne خود را در ایمیل اولیه ذکر کنید.

لطفاً قبل از اینکه فرصت پاسخ‌دهی داشته باشیم، آسیب‌پذیری‌ها را از طریق کانال‌های عمومی (مسائل GitHub، Twitter، Mastodon، تیکت‌های پشتیبانی) گزارش ندهید.

حوزه

در محدوده

  • دامنه وب bitvps.io و تمام زیردامنه‌ها.
  • پنل کنترل مشتری (panel.bitvps.io).
  • دایرکتوری /.well-known/ و محتوای امضاشده آن.
  • باگ‌های فرار از Hypervisor، host-to-guest، guest-to-guest و live-migration که بر پارچه KVM ما تأثیر می‌گذارند.
  • دورزدن احراز هویت / مجوزدهی در پنل یا جریان OAuth آن.
  • افشای اطلاعات شخصی (PII) مشتری یا داده‌های پرداخت.

خارج از محدوده

  • محتوای میزبانی‌شده توسط مشتری یا خدمات اداره‌شده توسط مشتری که بر زیرساخت ما اجرا می‌شوند — مستقیماً با مشتری تماس بگیرید یا از abuse@ استفاده کنید.
  • تست‌های denial-of-service علیه زیرساخت ما.
  • مهندسی اجتماعی کارکنان ما.
  • یافته‌های اسکنرهای خودکار بدون تأثیر قابل اثبات.
  • هدرهای امنیتی مفقود که مستقیماً به آسیب‌پذیری منجر نمی‌شوند.
  • نسخه‌های نرم‌افزار قدیمی در رابط‌های بازاریابی بدون exploit کارآمد.

بعد از گزارش چه اتفاقی می‌افتد

  1. تأیید ظرف ۲۴ ساعت، ۷ روز هفته. امضاشده با PGP.
  2. تریاژ ظرف ۷۲ ساعت — ارزیابی شدت و ETA اولیه بازسازی.
  3. رفع و تأیید — یک رفع ارسال می‌کنیم، از شما می‌خواهیم تأیید کنید، سپس در محیط تولید مستقر می‌کنیم.
  4. افشای هماهنگ‌شده — توافق‌شده با شما، معمولاً ۹۰ روز پس از ارسال رفع. یک post-mortem با اعتبار به شما (یا ناشناس بنا به درخواست) منتشر خواهیم کرد.
  5. پاداش — به بخش پاداش در زیر مراجعه کنید.

مقیاس جایزه

قابل پرداخت به USD (از طریق انتقال بانکی) یا ارز دیجیتال به انتخاب شما (BTC، XMR، ETH، USDT، USDC، SOL، LTC، XRP، TRX، TON، DOGE، POL، BCH، DASH، ZEC یا سایر ارزهای پشتیبانی‌شده) با نرخ لحظه‌ای در روز اعطا.

شدت (CVSS v3.1)پاداشمثال
بحرانی (9.0 – 10.0)$5,000 – $15,000فرار از Hypervisor، RCE پنل، استخراج انبوه PII
بالا (7.0 – 8.9)$1,500 – $5,000RCE احراز هویت‌شده، افزایش امتیاز در پنل، SSRF به شبکه داخلی
متوسط (4.0 – 6.9)$300 – $1,500XSS ذخیره‌شده در پنل، IDOR افشاکننده غیر PII
پایین (0.1 – 3.9)$50 – $300تغییر مسیر باز، محدودسازی نرخ مفقود بدون تأثیر مستقیم

گزارش‌های تکراری بر اساس اولین ارسال معتبر پاداش داده می‌شوند. بالاترین پاداشی که تاکنون پرداخت کرده‌ایم $12,000 است (2025-09-11، TOCTOU live-migration hypervisor). تمام محققان معتبر در تالار افتخار بنا به انتخاب فهرست می‌شوند.

بندرگاه امن

تحقیقاتی که در محدوده و روح این سیاست انجام می‌شوند تحت قانون Saint Kitts یا قانون حوزه‌های قضایی عملیاتی ما به‌عنوان دسترسی غیرمجاز تلقی نمی‌شوند، و ما علیه محققانی که با نیت حسن‌نیت عمل می‌کنند اقدام مدنی یا کیفری نخواهیم کرد. به‌طور خاص:

  • بیشتر از آنچه برای نمایش تأثیر لازم است داده استخراج نکنید — یک اسکرین‌شات واحد موضوع را ثابت می‌کند.
  • اقدامات مخرب اجرا نکنید (حذف داده‌های مشتری، توقف خدمات، تغییر حالت تولید).
  • به محض نمایش تأثیر، متوقف شوید و گزارش دهید.
  • یافته‌ها را قبل از تاریخ افشای هماهنگ‌شده با اشخاص ثالث به اشتراک نگذارید.

اگر به‌طور تصادفی — با نیت حسن‌نیت — از محدوده خارج شدید، فوری با ما تماس بگیرید و با هم آن را حل خواهیم کرد.

این سند v2.0, مؤثر است از 2026-04-01, آخرین به‌روزرسانی 2026-04-22. نسخه امضاشده با PGP در صورت درخواست در دسترس است در us.