Erwisch uns — kassiere eine Belohnung.
Unser eigenes Programm. Wir nehmen zwei Arten von Funden an: klassische Schwachstellen (Track A) und Widerlegungen unseres Sicherheitsberichts (Track B). Die Zahlungsstufen gelten für beide; die Belohnung wird deinem Plattform-Guthaben gutgeschrieben.
Wo du jagen darfst.
Im Geltungsbereich
- createyourvpn.com und api.createyourvpn.com
- deine eigenen Storefront-Domains
- ein ausdrücklich benannter Testserver
Außerhalb des Geltungsbereichs
- Server und Daten von Partnern und Endnutzern
- Denial-of-Service / Stresstests
- Social Engineering, Spam, Phishing
- physischer Zugang
Aktive Tests sind nur auf dem Preprod-Stand (pp.*) erlaubt, sodass die Jagd niemals Live-Partner oder ihre Nutzer berührt. Probleme, die auch die Produktion betreffen, zählen trotzdem — reproduziere sie einfach auf dem Stand.
Zahlungsstufen.
RCE; Zugriff auf andere Server oder SSH-Schlüssel; Autorisierungs-Umgehung; Widerlegung einer SR-Aussage zur Schlüsselspeicherung
IDOR auf fremde Daten; XSS mit Sitzungsübernahme; Widerlegung anderer SR-Aussagen
XSS mit begrenzter Auswirkung; Offenlegung interner Informationen
Best-Practice-Hinweise; ein fehlender Header ohne Exploit
Kurz und ehrlich.
- Führe aktive Tests nur auf dem dafür vorgesehenen Preprod-Stand (pp.*) durch — niemals gegen Produktion, Partner- oder Nutzerserver.
- Die Belohnung geht nur an den ersten Melder; Duplikate erhalten eine Hall-of-Fame-Gutschrift.
- Ein reproduzierbarer Proof of Concept ist erforderlich; „dir fehlt Header X“ ohne Exploit ist Hall of fame, keine Belohnung.
- Verantwortungsvolle Offenlegung: 90 Tage Stillschweigen; wir antworten innerhalb von 72 Stunden.
- Safe Harbor: Wir verfolgen gutgläubige Forschung innerhalb des Geltungsbereichs nicht.
- Teste nur auf deinen eigenen Konten.
- Außerhalb des Geltungsbereichs: Server und Daten von Partnern und Nutzern, Denial of Service, Social Engineering, Spam, physischer Zugang.
Etwas gefunden?
Sende einen Bericht mit einem reproduzierbaren Proof of Concept per E-Mail. Du findest uns auch über die security.txt-Datei auf unseren Domains.