Chyť nás — získej odměnu.
Náš vlastní program. Přijímáme nálezy dvou druhů: klasické zranitelnosti (trasa A) a vyvrácení naší bezpečnostní zprávy (trasa B). Úrovně výplat jsou pro oba společné; odměna se připisuje na tvůj zůstatek platformy.
Kde můžeš lovit.
V rozsahu
- createyourvpn.com a api.createyourvpn.com
- tvé vlastní domény výlohy
- výslovně určený testovací server
Mimo rozsah
- servery a data partnerů a koncových uživatelů
- odepření služby / zátěžové testování
- sociální inženýrství, spam, phishing
- fyzický přístup
Aktivní testování je povoleno jen na preprod prostředí (pp.*), takže se lov nikdy nedotýká živých partnerů ani jejich uživatelů. Problémy, které se týkají i produkce, se stále počítají — jen je reprodukuj na tomto prostředí.
Úrovně výplat.
RCE; přístup k cizím serverům nebo SSH klíčům; obejití autorizace; vyvrácení tvrzení SR o ukládání klíčů
IDOR k cizím datům; XSS s únosem relace; vyvrácení dalších tvrzení SR
XSS s omezeným dopadem; vyzrazení interních informací
poznámky k osvědčeným postupům; chybějící hlavička bez exploitu
Krátce a poctivě.
- Aktivní testy prováděj jen na určeném preprod prostředí (pp.*) — nikdy proti produkci, serverům partnerů nebo uživatelů.
- Odměnu dostane jen první nahlašující; duplikáty získají zápis do síně slávy.
- Vyžaduje se reprodukovatelný proof of concept; „chybí vám hlavička X” bez exploitu je síň slávy, ne odměna.
- Odpovědné zveřejnění: 90 dní ticha; odpovídáme do 72 hodin.
- Bezpečný přístav: dobromyslný výzkum v rozsahu nebudeme stíhat.
- Testuj jen na vlastních účtech.
- Mimo rozsah: servery a data partnerů a uživatelů, odepření služby, sociální inženýrství, spam, fyzický přístup.
Něco jsi našel?
Pošli hlášení s reprodukovatelným proof of concept emailem. Najdeš nás také přes soubor security.txt na našich doménách.