버그 바운티 · 무료 참여 · 내부 분류
당사를 잡아내면 — 보상을.
당사가 자체 운영하는 프로그램입니다. 두 종류의 발견을 받습니다: 전형적인 취약점(트랙 A)과 당사 보안 리포트에 대한 반박(트랙 B). 지급 등급은 두 종류에 공통이며, 보상은 귀하의 플랫폼 잔액으로 적립됩니다.
범위
어디를 노릴 수 있나.
범위 내
- createyourvpn.com 및 api.createyourvpn.com
- 귀하 자신의 스토어프론트 도메인
- 명시적으로 지정된 테스트 서버
범위 밖
- 파트너 및 최종 사용자의 서버와 데이터
- 서비스 거부 / 스트레스 테스트
- 사회공학, 스팸, 피싱
- 물리적 접근
능동적 테스트는 프리프로드 스탠드(pp.*)에서만 허용되며, 이를 통해 조사가 실제 파트너나 그 사용자를 건드리지 않도록 합니다. 프로덕션에도 영향을 미치는 문제 역시 유효합니다 — 다만 스탠드에서 재현해 주세요.
보상
지급 등급.
중대€100
RCE; 다른 서버나 SSH 키에 대한 접근; 인가 우회; 키 저장에 관한 SR 주장 반박
중간€50
타인의 데이터에 대한 IDOR; 세션 하이재킹을 동반한 XSS; 그 밖의 SR 주장 반박
경미€25
영향이 제한적인 XSS; 내부 정보 노출
정보성명예의 전당
모범 사례 관련 지적; 익스플로잇 없는 헤더 누락
규칙
짧고 솔직하게.
- 능동적 테스트는 지정된 프리프로드 스탠드(pp.*)에서만 수행하세요 — 프로덕션이나 파트너·사용자 서버를 대상으로는 절대 하지 마세요.
- 보상은 최초 제보자에게만 지급되며, 중복 제보에는 명예의 전당 등재가 주어집니다.
- 재현 가능한 개념 증명(PoC)이 필요합니다. 익스플로잇 없이 '헤더 X가 없다'는 지적은 보상이 아니라 명예의 전당입니다.
- 책임 있는 공개: 90일간 비공개; 당사는 72시간 이내에 응답합니다.
- 세이프 하버: 범위 내의 선의의 연구에 대해서는 법적 조치를 취하지 않습니다.
- 오직 귀하 자신의 계정에서만 테스트하세요.
- 범위 밖: 파트너 및 사용자의 서버와 데이터, 서비스 거부, 사회공학, 스팸, 물리적 접근.
무언가 찾으셨나요?
재현 가능한 개념 증명을 담아 이메일로 제보를 보내 주세요. 당사 도메인의 security.txt 파일을 통해서도 당사를 찾을 수 있습니다.
security@createyourvpn.com/.well-known/security.txt · 90일간 비공개 · 세이프 하버