bug bounty · participació gratuïta · triatge intern

Enxampa’ns — emporta’t una recompensa.

El nostre propi programa. Acceptem dos tipus de troballes: vulnerabilitats clàssiques (via A) i refutacions del nostre informe de seguretat (via B). Els nivells de pagament són compartits per a tots dos; la recompensa s’acredita al teu saldo de la plataforma.

abast

On pots caçar.

Dins de l’abast

  • createyourvpn.com i api.createyourvpn.com
  • els teus propis dominis de botiga
  • un servidor de proves designat explícitament

Fora de l’abast

  • els servidors i les dades dels socis i dels usuaris finals
  • denegació de servei / proves d’estrès
  • enginyeria social, correu brossa, phishing
  • accés físic

Les proves actives només es permeten a l’entorn de preproducció (pp.*), de manera que la cerca mai no afecta els socis actius ni els seus usuaris. Els problemes que també afecten la producció continuen comptant —només cal reproduir-los a l’entorn.

recompenses

Nivells de pagament.

greu€100

RCE; accés a altres servidors o claus SSH; elusió d’autorització; refutar una afirmació SR sobre l’emmagatzematge de claus

mitjà€50

IDOR a dades d’altri; XSS amb segrest de sessió; refutar altres afirmacions SR

menor€25

XSS amb impacte limitat; divulgació d’informació interna

informatiuSaló de la fama

notes sobre bones pràctiques; una capçalera absent sense cap exploit

regles

Curtes i sinceres.

  • Fes proves actives només a l’entorn de preproducció designat (pp.*) —mai contra la producció ni contra els servidors de socis o usuaris.
  • La recompensa va només al primer que ho notifica; els duplicats reben un crèdit al saló de la fama.
  • Cal una prova de concepte reproduïble; «et falta la capçalera X» sense cap exploit és saló de la fama, no una recompensa.
  • Divulgació responsable: 90 dies de silenci; responem en 72 hores.
  • Port segur: no emprendrem accions contra la recerca de bona fe dins de l’abast.
  • Fes proves només amb els teus propis comptes.
  • Fora de l’abast: els servidors i les dades dels socis i dels usuaris, la denegació de servei, l’enginyeria social, el correu brossa, l’accés físic.

Has trobat alguna cosa?

Envia’ns un informe amb una prova de concepte reproduïble per correu electrònic. També ens pots trobar a través del fitxer security.txt dels nostres dominis.

security@createyourvpn.com/.well-known/security.txt · 90 dies de silenci · port segur