Bug Bounty · kostenlos beizutreten · interne Triage

Erwisch uns — kassiere eine Belohnung.

Unser eigenes Programm. Wir nehmen zwei Arten von Funden an: klassische Schwachstellen (Track A) und Widerlegungen unseres Sicherheitsberichts (Track B). Die Zahlungsstufen gelten für beide; die Belohnung wird deinem Plattform-Guthaben gutgeschrieben.

Geltungsbereich

Wo du jagen darfst.

Im Geltungsbereich

  • createyourvpn.com und api.createyourvpn.com
  • deine eigenen Storefront-Domains
  • ein ausdrücklich benannter Testserver

Außerhalb des Geltungsbereichs

  • Server und Daten von Partnern und Endnutzern
  • Denial-of-Service / Stresstests
  • Social Engineering, Spam, Phishing
  • physischer Zugang

Aktive Tests sind nur auf dem Preprod-Stand (pp.*) erlaubt, sodass die Jagd niemals Live-Partner oder ihre Nutzer berührt. Probleme, die auch die Produktion betreffen, zählen trotzdem — reproduziere sie einfach auf dem Stand.

Belohnungen

Zahlungsstufen.

schwerwiegend€100

RCE; Zugriff auf andere Server oder SSH-Schlüssel; Autorisierungs-Umgehung; Widerlegung einer SR-Aussage zur Schlüsselspeicherung

mittel€50

IDOR auf fremde Daten; XSS mit Sitzungsübernahme; Widerlegung anderer SR-Aussagen

gering€25

XSS mit begrenzter Auswirkung; Offenlegung interner Informationen

informativHall of fame

Best-Practice-Hinweise; ein fehlender Header ohne Exploit

Regeln

Kurz und ehrlich.

  • Führe aktive Tests nur auf dem dafür vorgesehenen Preprod-Stand (pp.*) durch — niemals gegen Produktion, Partner- oder Nutzerserver.
  • Die Belohnung geht nur an den ersten Melder; Duplikate erhalten eine Hall-of-Fame-Gutschrift.
  • Ein reproduzierbarer Proof of Concept ist erforderlich; „dir fehlt Header X“ ohne Exploit ist Hall of fame, keine Belohnung.
  • Verantwortungsvolle Offenlegung: 90 Tage Stillschweigen; wir antworten innerhalb von 72 Stunden.
  • Safe Harbor: Wir verfolgen gutgläubige Forschung innerhalb des Geltungsbereichs nicht.
  • Teste nur auf deinen eigenen Konten.
  • Außerhalb des Geltungsbereichs: Server und Daten von Partnern und Nutzern, Denial of Service, Social Engineering, Spam, physischer Zugang.

Etwas gefunden?

Sende einen Bericht mit einem reproduzierbaren Proof of Concept per E-Mail. Du findest uns auch über die security.txt-Datei auf unseren Domains.

security@createyourvpn.com/.well-known/security.txt · 90 Tage Stillschweigen · Safe Harbor