버그 바운티 · 무료 참여 · 내부 분류

당사를 잡아내면 — 보상을.

당사가 자체 운영하는 프로그램입니다. 두 종류의 발견을 받습니다: 전형적인 취약점(트랙 A)과 당사 보안 리포트에 대한 반박(트랙 B). 지급 등급은 두 종류에 공통이며, 보상은 귀하의 플랫폼 잔액으로 적립됩니다.

범위

어디를 노릴 수 있나.

범위 내

  • createyourvpn.com 및 api.createyourvpn.com
  • 귀하 자신의 스토어프론트 도메인
  • 명시적으로 지정된 테스트 서버

범위 밖

  • 파트너 및 최종 사용자의 서버와 데이터
  • 서비스 거부 / 스트레스 테스트
  • 사회공학, 스팸, 피싱
  • 물리적 접근

능동적 테스트는 프리프로드 스탠드(pp.*)에서만 허용되며, 이를 통해 조사가 실제 파트너나 그 사용자를 건드리지 않도록 합니다. 프로덕션에도 영향을 미치는 문제 역시 유효합니다 — 다만 스탠드에서 재현해 주세요.

보상

지급 등급.

중대€100

RCE; 다른 서버나 SSH 키에 대한 접근; 인가 우회; 키 저장에 관한 SR 주장 반박

중간€50

타인의 데이터에 대한 IDOR; 세션 하이재킹을 동반한 XSS; 그 밖의 SR 주장 반박

경미€25

영향이 제한적인 XSS; 내부 정보 노출

정보성명예의 전당

모범 사례 관련 지적; 익스플로잇 없는 헤더 누락

규칙

짧고 솔직하게.

  • 능동적 테스트는 지정된 프리프로드 스탠드(pp.*)에서만 수행하세요 — 프로덕션이나 파트너·사용자 서버를 대상으로는 절대 하지 마세요.
  • 보상은 최초 제보자에게만 지급되며, 중복 제보에는 명예의 전당 등재가 주어집니다.
  • 재현 가능한 개념 증명(PoC)이 필요합니다. 익스플로잇 없이 '헤더 X가 없다'는 지적은 보상이 아니라 명예의 전당입니다.
  • 책임 있는 공개: 90일간 비공개; 당사는 72시간 이내에 응답합니다.
  • 세이프 하버: 범위 내의 선의의 연구에 대해서는 법적 조치를 취하지 않습니다.
  • 오직 귀하 자신의 계정에서만 테스트하세요.
  • 범위 밖: 파트너 및 사용자의 서버와 데이터, 서비스 거부, 사회공학, 스팸, 물리적 접근.

무언가 찾으셨나요?

재현 가능한 개념 증명을 담아 이메일로 제보를 보내 주세요. 당사 도메인의 security.txt 파일을 통해서도 당사를 찾을 수 있습니다.

security@createyourvpn.com/.well-known/security.txt · 90일간 비공개 · 세이프 하버