bug bounty · maksuton osallistuminen · oma triage

Nappaa meidät kiinni — saat palkkion.

Oma ohjelmamme. Hyväksymme kahdenlaisia löydöksiä: klassiset haavoittuvuudet (track A) ja tietoturvaraporttimme kumoamiset (track B). Maksutasot ovat yhteiset molemmille; palkkio hyvitetään alustasaldollesi.

laajuus

Missä voit metsästää.

Laajuuden sisällä

  • createyourvpn.com ja api.createyourvpn.com
  • omat storefront-verkkotunnuksesi
  • nimenomaisesti osoitettu testipalvelin

Laajuuden ulkopuolella

  • kumppanien ja loppukäyttäjien palvelimet ja tiedot
  • palvelunesto / kuormitustestaus
  • sosiaalinen manipulointi, roskaposti, tietojenkalastelu
  • fyysinen pääsy

Aktiivinen testaus on sallittu vain preprod-ympäristössä (pp.*), joten jahti ei koskaan kosketa aktiivisia kumppaneita tai heidän käyttäjiään. Myös tuotantoon vaikuttavat ongelmat lasketaan silti — riittää, että toistat ne preprod-ympäristössä.

palkkiot

Maksutasot.

suuri€100

RCE; pääsy muihin palvelimiin tai SSH-avaimiin; valtuutuksen ohitus; avainten säilytystä koskevan SR-väitteen kumoaminen

keskisuuri€50

IDOR muiden tietoihin; XSS istunnon kaappauksella; muiden SR-väitteiden kumoaminen

pieni€25

XSS rajallisella vaikutuksella; sisäisen tiedon paljastuminen

informatiivinenHall of fame

parhaiden käytäntöjen huomiot; puuttuva otsake ilman hyväksikäyttöä

säännöt

Lyhyet ja rehelliset.

  • Suorita aktiiviset testit vain sitä varten osoitetussa preprod-ympäristössä (pp.*) — älä koskaan tuotantoa, kumppanien tai käyttäjien palvelimia vastaan.
  • Palkkio menee vain ensimmäiselle ilmoittajalle; kaksoiskappaleet saavat hall of fame -maininnan.
  • Toistettava proof of concept vaaditaan; 'sinulta puuttuu otsake X' ilman hyväksikäyttöä on hall of fame, ei palkkio.
  • Vastuullinen paljastaminen: 90 päivää hiljaisuutta; vastaamme 72 tunnin kuluessa.
  • Safe harbor: emme ryhdy toimiin vilpitöntä, laajuuden sisällä tehtyä tutkimusta vastaan.
  • Testaa vain omilla tileilläsi.
  • Laajuuden ulkopuolella: kumppanien ja käyttäjien palvelimet ja tiedot, palvelunesto, sosiaalinen manipulointi, roskaposti, fyysinen pääsy.

Löysitkö jotain?

Lähetä raportti, jossa on toistettava proof of concept, sähköpostitse. Voit myös löytää meidät verkkotunnuksissamme olevan security.txt-tiedoston kautta.

security@createyourvpn.com/.well-known/security.txt · 90 päivää hiljaisuutta · safe harbor