bug bounty · participación gratuita · triaje interno

Cázanos — gana una recompensa.

Nuestro propio programa. Aceptamos dos tipos de hallazgos: vulnerabilidades clásicas (vía A) y refutaciones de nuestro informe de seguridad (vía B). Los niveles de pago son compartidos para ambos; la recompensa se abona a tu saldo en la plataforma.

alcance

Dónde puedes cazar.

Dentro del alcance

  • createyourvpn.com y api.createyourvpn.com
  • tus propios dominios de tienda
  • un servidor de pruebas explícitamente designado

Fuera del alcance

  • los servidores y datos de los socios y de los usuarios finales
  • denegación de servicio / pruebas de estrés
  • ingeniería social, spam, phishing
  • acceso físico

Las pruebas activas solo se permiten en el entorno de preproducción (pp.*), de modo que la búsqueda nunca afecta a los socios activos ni a sus usuarios. Los problemas que también afectan a la producción siguen contando —solo hay que reproducirlos en el entorno.

recompensas

Niveles de pago.

mayor€100

RCE; acceso a otros servidores o a claves SSH; elusión de autorización; refutar una afirmación SR sobre el almacenamiento de claves

medio€50

IDOR a datos ajenos; XSS con secuestro de sesión; refutar otras afirmaciones SR

menor€25

XSS con impacto limitado; divulgación de información interna

informativoSalón de la fama

notas sobre buenas prácticas; una cabecera ausente sin un exploit

reglas

Breves y honestas.

  • Realiza pruebas activas solo en el entorno de preproducción designado (pp.*) —nunca contra la producción ni contra los servidores de socios o usuarios.
  • La recompensa se otorga solo a quien informa primero; los duplicados reciben una mención en el salón de la fama.
  • Se requiere una prueba de concepto reproducible; 'te falta la cabecera X' sin un exploit es salón de la fama, no una recompensa.
  • Divulgación responsable: 90 días de silencio; respondemos en un plazo de 72 horas.
  • Puerto seguro (safe harbor): no emprenderemos acciones contra la investigación de buena fe dentro del alcance.
  • Prueba solo con tus propias cuentas.
  • Fuera del alcance: los servidores y datos de los socios y usuarios, la denegación de servicio, la ingeniería social, el spam y el acceso físico.

¿Has encontrado algo?

Envía un informe con una prueba de concepto reproducible por correo electrónico. También puedes encontrarnos a través del archivo security.txt en nuestros dominios.

security@createyourvpn.com/.well-known/security.txt · 90 días de silencio · puerto seguro