バグバウンティ · 参加無料 · 社内トリアージ

当社を出し抜けば、報奨金を。

当社独自のプログラムです。当社は2種類の報告を受け付けます:古典的な脆弱性(トラックA)と、当社のセキュリティレポートへの反証(トラックB)。支払いの階層は両方で共通で、報奨金はあなたのプラットフォーム残高に入金されます。

対象範囲

どこを狙えるか。

対象範囲内

  • createyourvpn.com および api.createyourvpn.com
  • あなた自身のストアフロントドメイン
  • 明示的に指定されたテストサーバー

対象範囲外

  • パートナーおよびエンドユーザーのサーバーとデータ
  • サービス拒否(DoS)/ストレステスト
  • ソーシャルエンジニアリング、スパム、フィッシング
  • 物理アクセス

能動的なテストはpreprod環境(pp.*)でのみ許可されます。これにより、調査が稼働中のパートナーやそのユーザーに触れることはありません。本番環境にも影響する問題は引き続き対象です — その場合はこの環境で再現してください。

報奨金

支払いの階層。

重大€100

RCE、他のサーバーやSSH鍵へのアクセス、認可バイパス、鍵の保存に関するSR主張の反証

中程度€50

他者のデータへのIDOR、セッションハイジャックを伴うXSS、その他のSR主張の反証

軽微€25

影響が限定的なXSS、内部情報の開示

情報提供殿堂入り

ベストプラクティスに関する指摘、エクスプロイトを伴わないヘッダーの欠落

ルール

短く、正直に。

  • 能動的なテストは指定されたpreprod環境(pp.*)でのみ実施してください — 本番環境やパートナー・ユーザーのサーバーに対しては決して行わないでください。
  • 報奨金は最初の報告者にのみ支払われます。重複した報告には殿堂入りでの掲載を行います。
  • 再現可能な概念実証(PoC)が必要です。エクスプロイトを伴わない「ヘッダーXが欠けている」は、報奨金ではなく殿堂入りです。
  • 責任ある開示:90日間の非公開。当社は72時間以内に応答します。
  • セーフハーバー:対象範囲内での誠実な調査に対して、当社は法的措置を取りません。
  • テストはあなた自身のアカウントでのみ行ってください。
  • 対象範囲外:パートナーおよびユーザーのサーバーとデータ、サービス拒否(DoS)、ソーシャルエンジニアリング、スパム、物理アクセス。

何か見つけましたか?

再現可能な概念実証(PoC)を添えた報告を、メールで送ってください。当社のドメインにある security.txt ファイルからも、連絡先を見つけられます。

security@createyourvpn.com/.well-known/security.txt · 90日間の非公開 · セーフハーバー