bug bounty · gratis deelname · triage in eigen huis

Betrap ons — verdien een beloning.

Ons eigen programma. We accepteren twee soorten bevindingen: klassieke kwetsbaarheden (track A) en weerleggingen van ons beveiligingsrapport (track B). De uitbetalingsniveaus gelden voor beide; de beloning wordt bijgeschreven op je platformsaldo.

scope

Waar je mag jagen.

Binnen scope

  • createyourvpn.com en api.createyourvpn.com
  • je eigen storefront-domeinen
  • een expliciet aangewezen testserver

Buiten scope

  • servers en gegevens van partners en eindgebruikers
  • denial-of-service / stresstests
  • social engineering, spam, phishing
  • fysieke toegang

Actief testen is alleen toegestaan op de preprod-omgeving (pp.*), zodat de jacht nooit actieve partners of hun gebruikers raakt. Problemen die ook productie treffen, tellen nog steeds mee — reproduceer ze gewoon op de omgeving.

beloningen

Uitbetalingsniveaus.

groot€100

RCE; toegang tot andere servers of SSH-sleutels; omzeiling van autorisatie; het weerleggen van een SR-bewering over sleutelopslag

middelgroot€50

IDOR naar andermans gegevens; XSS met sessiekaping; het weerleggen van andere SR-beweringen

klein€25

XSS met beperkte impact; openbaarmaking van interne informatie

informatiefHall of fame

opmerkingen over best practices; een ontbrekende header zonder exploit

regels

Kort en eerlijk.

  • Voer actieve tests alleen uit op de aangewezen preprod-omgeving (pp.*) — nooit tegen productie, partner- of gebruikersservers.
  • De beloning gaat alleen naar de eerste melder; duplicaten krijgen een vermelding in de hall of fame.
  • Een reproduceerbare proof of concept is vereist; 'je mist header X' zonder exploit is hall of fame, geen beloning.
  • Responsible disclosure: 90 dagen stilte; we reageren binnen 72 uur.
  • Safe harbor: we ondernemen geen stappen tegen onderzoek te goeder trouw binnen de scope.
  • Test alleen op je eigen accounts.
  • Buiten scope: servers en gegevens van partners en gebruikers, denial of service, social engineering, spam, fysieke toegang.

Iets gevonden?

Stuur een melding met een reproduceerbare proof of concept per e-mail. Je kunt ons ook vinden via het security.txt-bestand op onze domeinen.

security@createyourvpn.com/.well-known/security.txt · 90 dagen stilte · safe harbor