Prends-nous en défaut — obtiens une récompense.
Notre propre programme. Nous acceptons deux types de découvertes : vulnérabilités classiques (track A) et réfutations de notre rapport de sécurité (track B). Les paliers de paiement sont communs aux deux ; la récompense est créditée sur ton solde de la plateforme.
Où tu peux chasser.
Dans le périmètre
- createyourvpn.com et api.createyourvpn.com
- tes propres domaines de vitrine
- un serveur de test explicitement désigné
Hors périmètre
- les serveurs et données des partenaires et des utilisateurs finaux
- déni de service / tests de charge
- ingénierie sociale, spam, hameçonnage
- accès physique
Les tests actifs ne sont autorisés que sur le banc de préprod (pp.*), afin que la chasse ne touche jamais les partenaires actifs ni leurs utilisateurs. Les problèmes qui affectent aussi la production comptent malgré tout — il suffit de les reproduire sur le banc.
Paliers de paiement.
RCE ; accès à d’autres serveurs ou à des clés SSH ; contournement d’autorisation ; réfutation d’une affirmation SR sur le stockage des clés
IDOR vers les données d’autrui ; XSS avec détournement de session ; réfutation d’autres affirmations SR
XSS à impact limité ; divulgation d’informations internes
notes de bonnes pratiques ; un en-tête manquant sans exploit
Courtes et honnêtes.
- N’exécute des tests actifs que sur le banc de préprod désigné (pp.*) — jamais contre la production, ni contre les serveurs des partenaires ou des utilisateurs.
- La récompense ne va qu’au premier rapporteur ; les doublons reçoivent un crédit au hall of fame.
- Un proof of concept reproductible est requis ; « il te manque l’en-tête X » sans exploit relève du hall of fame, pas d’une récompense.
- Divulgation responsable : 90 jours de silence ; nous répondons sous 72 heures.
- Safe harbor : nous ne poursuivrons pas la recherche de bonne foi dans le périmètre.
- Ne teste que sur tes propres comptes.
- Hors périmètre : les serveurs et données des partenaires et des utilisateurs, déni de service, ingénierie sociale, spam, accès physique.
Tu as trouvé quelque chose ?
Envoie un rapport avec un proof of concept reproductible par e-mail. Tu peux aussi nous trouver via le fichier security.txt sur nos domaines.