バグバウンティ · 参加無料 · 社内トリアージ
当社を出し抜けば、報奨金を。
当社独自のプログラムです。当社は2種類の報告を受け付けます:古典的な脆弱性(トラックA)と、当社のセキュリティレポートへの反証(トラックB)。支払いの階層は両方で共通で、報奨金はあなたのプラットフォーム残高に入金されます。
対象範囲
どこを狙えるか。
対象範囲内
- createyourvpn.com および api.createyourvpn.com
- あなた自身のストアフロントドメイン
- 明示的に指定されたテストサーバー
対象範囲外
- パートナーおよびエンドユーザーのサーバーとデータ
- サービス拒否(DoS)/ストレステスト
- ソーシャルエンジニアリング、スパム、フィッシング
- 物理アクセス
能動的なテストはpreprod環境(pp.*)でのみ許可されます。これにより、調査が稼働中のパートナーやそのユーザーに触れることはありません。本番環境にも影響する問題は引き続き対象です — その場合はこの環境で再現してください。
報奨金
支払いの階層。
重大€100
RCE、他のサーバーやSSH鍵へのアクセス、認可バイパス、鍵の保存に関するSR主張の反証
中程度€50
他者のデータへのIDOR、セッションハイジャックを伴うXSS、その他のSR主張の反証
軽微€25
影響が限定的なXSS、内部情報の開示
情報提供殿堂入り
ベストプラクティスに関する指摘、エクスプロイトを伴わないヘッダーの欠落
ルール
短く、正直に。
- 能動的なテストは指定されたpreprod環境(pp.*)でのみ実施してください — 本番環境やパートナー・ユーザーのサーバーに対しては決して行わないでください。
- 報奨金は最初の報告者にのみ支払われます。重複した報告には殿堂入りでの掲載を行います。
- 再現可能な概念実証(PoC)が必要です。エクスプロイトを伴わない「ヘッダーXが欠けている」は、報奨金ではなく殿堂入りです。
- 責任ある開示:90日間の非公開。当社は72時間以内に応答します。
- セーフハーバー:対象範囲内での誠実な調査に対して、当社は法的措置を取りません。
- テストはあなた自身のアカウントでのみ行ってください。
- 対象範囲外:パートナーおよびユーザーのサーバーとデータ、サービス拒否(DoS)、ソーシャルエンジニアリング、スパム、物理アクセス。
何か見つけましたか?
再現可能な概念実証(PoC)を添えた報告を、メールで送ってください。当社のドメインにある security.txt ファイルからも、連絡先を見つけられます。
security@createyourvpn.com/.well-known/security.txt · 90日間の非公開 · セーフハーバー