Programa de Bug Bounty
Nos esforzamos por garantizar la máxima seguridad y la protección de los datos de nuestros usuarios. Si encuentras una vulnerabilidad en h2.nexus, comunícala de forma privada y te recompensaremos: de 1 a 5000 $ por cada error válido, pagado con tarjeta bancaria, criptomonedas o transferencia bancaria.
- $1 – $5,000rango de recompensa
- Tarjeta · Criptoo transferencia
- < 24 hprimera respuesta
- *.h2.nexusdentro del alcance
Sobre el programa
Nuestro programa de bug bounty recompensa a los investigadores que encuentran e informan de forma responsable de vulnerabilidades de seguridad en toda la plataforma h2.nexus: el sitio web, el área de facturación, el terminal del servidor gratuito y la infraestructura que hay detrás. El objetivo es simple: corregir problemas de seguridad reales antes de que puedan abusarse de ellos y recompensar de forma justa a quienes nos ayudan a lograrlo.
Nuestro equipo revisa cada informe. Si tu hallazgo es válido, original y está dentro del alcance, pagamos una recompensa según su gravedad e impacto real. Cuanto más grave y mejor demostrado esté el problema, mayor será el pago: hasta 5000 $ por vulnerabilidades críticas.
Recompensas por gravedad
Las recompensas dependen del impacto y de la explotabilidad del error. Los rangos siguientes son orientativos; el importe final se decide caso por caso.
Ejecución remota de código, omisión de autenticación, toma de control total de la cuenta o del servidor, acceso a datos o fondos de otros clientes, manipulación de pagos.
Server-Side Request Forgery con impacto real, XSS almacenado en el panel de control, IDOR que expone datos sensibles, escalada de privilegios.
XSS reflejado con impacto, CSRF en acciones sensibles, divulgación de información sensible, control de acceso roto con alcance limitado.
Erratas, errores de contenido, fallos visuales o de maquetación y otros detalles menores.
La gravedad y la recompensa final las determina h2.nexus en función del CVSS, la explotabilidad y el impacto real. En los informes duplicados solo se recompensa el primer envío válido.
Alcance
Prueba únicamente los activos que se enumeran a continuación y solo con cuentas y datos que te pertenezcan.
Dentro del alcance
- Todo lo del proyecto h2.nexus, incluidos todos los subdominios
- my.h2.nexus — el área de cliente (BillManager 6)
- vm.h2.nexus — el panel de control de servidores (VMManager 6)
- vm-promo.h2.nexus — el panel de los servidores promo (VMManager 6)
- Nuestros bots de Telegram: @rdpbot, @h2nexus_info_bot, @bgp_robot
- …y los demás servicios e infraestructura del proyecto
Fuera del alcance
- Resultados de escáneres automáticos sin una prueba de concepto funcional
- Cabeceras de buenas prácticas ausentes sin impacto demostrado
- DoS y DDoS: ataques de denegación de servicio y de agotamiento de recursos
Cómo informar
Un buen informe nos ayuda a reproducir y corregir el problema rápidamente, y a ti a cobrar antes.
- 1
Describe el error
Explica la vulnerabilidad, la URL o el endpoint afectado y el impacto de seguridad de forma clara.
- 2
Añade un PoC
Incluye los pasos exactos para reproducirlo, las solicitudes o payloads utilizados y capturas de pantalla o un vídeo breve.
- 3
Escríbenos
Envía todo a root@h2.nexus y espera nuestra respuesta. Mantén el problema en privado hasta que esté corregido.
Envía tu informe a root@h2.nexus
Escríbenos con una descripción clara y una prueba de concepto. Revisamos cada informe, respondemos lo antes posible y recompensamos los hallazgos válidos dentro del alcance.
Incluye los pasos para reproducirlo, el impacto y cualquier captura de pantalla o registro de apoyo.