bug bounty · gratuit à rejoindre · triage en interne

Prends-nous en défaut — obtiens une récompense.

Notre propre programme. Nous acceptons deux types de découvertes : vulnérabilités classiques (track A) et réfutations de notre rapport de sécurité (track B). Les paliers de paiement sont communs aux deux ; la récompense est créditée sur ton solde de la plateforme.

périmètre

Où tu peux chasser.

Dans le périmètre

  • createyourvpn.com et api.createyourvpn.com
  • tes propres domaines de vitrine
  • un serveur de test explicitement désigné

Hors périmètre

  • les serveurs et données des partenaires et des utilisateurs finaux
  • déni de service / tests de charge
  • ingénierie sociale, spam, hameçonnage
  • accès physique

Les tests actifs ne sont autorisés que sur le banc de préprod (pp.*), afin que la chasse ne touche jamais les partenaires actifs ni leurs utilisateurs. Les problèmes qui affectent aussi la production comptent malgré tout — il suffit de les reproduire sur le banc.

récompenses

Paliers de paiement.

majeur€100

RCE ; accès à d’autres serveurs ou à des clés SSH ; contournement d’autorisation ; réfutation d’une affirmation SR sur le stockage des clés

moyen€50

IDOR vers les données d’autrui ; XSS avec détournement de session ; réfutation d’autres affirmations SR

mineur€25

XSS à impact limité ; divulgation d’informations internes

informatifHall of fame

notes de bonnes pratiques ; un en-tête manquant sans exploit

règles

Courtes et honnêtes.

  • N’exécute des tests actifs que sur le banc de préprod désigné (pp.*) — jamais contre la production, ni contre les serveurs des partenaires ou des utilisateurs.
  • La récompense ne va qu’au premier rapporteur ; les doublons reçoivent un crédit au hall of fame.
  • Un proof of concept reproductible est requis ; « il te manque l’en-tête X » sans exploit relève du hall of fame, pas d’une récompense.
  • Divulgation responsable : 90 jours de silence ; nous répondons sous 72 heures.
  • Safe harbor : nous ne poursuivrons pas la recherche de bonne foi dans le périmètre.
  • Ne teste que sur tes propres comptes.
  • Hors périmètre : les serveurs et données des partenaires et des utilisateurs, déni de service, ingénierie sociale, spam, accès physique.

Tu as trouvé quelque chose ?

Envoie un rapport avec un proof of concept reproductible par e-mail. Tu peux aussi nous trouver via le fichier security.txt sur nos domaines.

security@createyourvpn.com/.well-known/security.txt · 90 jours de silence · safe harbor