Apanha-nos — recebe uma recompensa.
O nosso próprio programa. Aceitamos dois tipos de descobertas: vulnerabilidades clássicas (via A) e refutações do nosso relatório de segurança (via B). Os níveis de pagamento são partilhados por ambos; a recompensa é creditada no saldo da sua plataforma.
Onde pode caçar.
No âmbito
- createyourvpn.com e api.createyourvpn.com
- os seus próprios domínios de loja
- um servidor de teste explicitamente designado
Fora do âmbito
- servidores e dados de parceiros e de utilizadores finais
- negação de serviço / testes de stress
- engenharia social, spam, phishing
- acesso físico
Os testes ativos só são permitidos no ambiente de pré-produção (pp.*), para que a busca nunca toque nos parceiros ativos nem nos seus utilizadores. Os problemas que também afetam a produção continuam a contar — basta reproduzi-los no ambiente.
Níveis de pagamento.
RCE; acesso a outros servidores ou a chaves SSH; contorno de autorização; refutar uma afirmação SR sobre o armazenamento de chaves
IDOR a dados de terceiros; XSS com sequestro de sessão; refutar outras afirmações SR
XSS com impacto limitado; divulgação de informação interna
notas de boas práticas; um cabeçalho em falta sem um exploit
Curtas e honestas.
- Execute os testes ativos apenas no ambiente de pré-produção designado (pp.*) — nunca contra a produção nem contra servidores de parceiros ou utilizadores.
- A recompensa vai apenas para quem reporta primeiro; os duplicados recebem um crédito no Hall da fama.
- É exigida uma prova de conceito reproduzível; «falta-lhe o cabeçalho X» sem um exploit é Hall da fama, não uma recompensa.
- Divulgação responsável: 90 dias de silêncio; respondemos no prazo de 72 horas.
- Porto seguro: não perseguiremos investigação de boa-fé dentro do âmbito.
- Teste apenas nas suas próprias contas.
- Fora do âmbito: servidores e dados de parceiros e utilizadores, negação de serviço, engenharia social, spam, acesso físico.
Encontrou algo?
Envie um relatório com uma prova de conceito reproduzível por email. Também nos pode encontrar através do ficheiro security.txt nos nossos domínios.