Betrap ons — verdien een beloning.
Ons eigen programma. We accepteren twee soorten bevindingen: klassieke kwetsbaarheden (track A) en weerleggingen van ons beveiligingsrapport (track B). De uitbetalingsniveaus gelden voor beide; de beloning wordt bijgeschreven op je platformsaldo.
Waar je mag jagen.
Binnen scope
- createyourvpn.com en api.createyourvpn.com
- je eigen storefront-domeinen
- een expliciet aangewezen testserver
Buiten scope
- servers en gegevens van partners en eindgebruikers
- denial-of-service / stresstests
- social engineering, spam, phishing
- fysieke toegang
Actief testen is alleen toegestaan op de preprod-omgeving (pp.*), zodat de jacht nooit actieve partners of hun gebruikers raakt. Problemen die ook productie treffen, tellen nog steeds mee — reproduceer ze gewoon op de omgeving.
Uitbetalingsniveaus.
RCE; toegang tot andere servers of SSH-sleutels; omzeiling van autorisatie; het weerleggen van een SR-bewering over sleutelopslag
IDOR naar andermans gegevens; XSS met sessiekaping; het weerleggen van andere SR-beweringen
XSS met beperkte impact; openbaarmaking van interne informatie
opmerkingen over best practices; een ontbrekende header zonder exploit
Kort en eerlijk.
- Voer actieve tests alleen uit op de aangewezen preprod-omgeving (pp.*) — nooit tegen productie, partner- of gebruikersservers.
- De beloning gaat alleen naar de eerste melder; duplicaten krijgen een vermelding in de hall of fame.
- Een reproduceerbare proof of concept is vereist; 'je mist header X' zonder exploit is hall of fame, geen beloning.
- Responsible disclosure: 90 dagen stilte; we reageren binnen 72 uur.
- Safe harbor: we ondernemen geen stappen tegen onderzoek te goeder trouw binnen de scope.
- Test alleen op je eigen accounts.
- Buiten scope: servers en gegevens van partners en gebruikers, denial of service, social engineering, spam, fysieke toegang.
Iets gevonden?
Stuur een melding met een reproduceerbare proof of concept per e-mail. Je kunt ons ook vinden via het security.txt-bestand op onze domeinen.