Cázanos — gana una recompensa.
Nuestro propio programa. Aceptamos dos tipos de hallazgos: vulnerabilidades clásicas (vía A) y refutaciones de nuestro informe de seguridad (vía B). Los niveles de pago son compartidos para ambos; la recompensa se abona a tu saldo en la plataforma.
Dónde puedes cazar.
Dentro del alcance
- createyourvpn.com y api.createyourvpn.com
- tus propios dominios de tienda
- un servidor de pruebas explícitamente designado
Fuera del alcance
- los servidores y datos de los socios y de los usuarios finales
- denegación de servicio / pruebas de estrés
- ingeniería social, spam, phishing
- acceso físico
Las pruebas activas solo se permiten en el entorno de preproducción (pp.*), de modo que la búsqueda nunca afecta a los socios activos ni a sus usuarios. Los problemas que también afectan a la producción siguen contando —solo hay que reproducirlos en el entorno.
Niveles de pago.
RCE; acceso a otros servidores o a claves SSH; elusión de autorización; refutar una afirmación SR sobre el almacenamiento de claves
IDOR a datos ajenos; XSS con secuestro de sesión; refutar otras afirmaciones SR
XSS con impacto limitado; divulgación de información interna
notas sobre buenas prácticas; una cabecera ausente sin un exploit
Breves y honestas.
- Realiza pruebas activas solo en el entorno de preproducción designado (pp.*) —nunca contra la producción ni contra los servidores de socios o usuarios.
- La recompensa se otorga solo a quien informa primero; los duplicados reciben una mención en el salón de la fama.
- Se requiere una prueba de concepto reproducible; 'te falta la cabecera X' sin un exploit es salón de la fama, no una recompensa.
- Divulgación responsable: 90 días de silencio; respondemos en un plazo de 72 horas.
- Puerto seguro (safe harbor): no emprenderemos acciones contra la investigación de buena fe dentro del alcance.
- Prueba solo con tus propias cuentas.
- Fuera del alcance: los servidores y datos de los socios y usuarios, la denegación de servicio, la ingeniería social, el spam y el acceso físico.
¿Has encontrado algo?
Envía un informe con una prueba de concepto reproducible por correo electrónico. También puedes encontrarnos a través del archivo security.txt en nuestros dominios.