bug bounty · adesão gratuita · triagem interna

Apanha-nos — recebe uma recompensa.

O nosso próprio programa. Aceitamos dois tipos de descobertas: vulnerabilidades clássicas (via A) e refutações do nosso relatório de segurança (via B). Os níveis de pagamento são partilhados por ambos; a recompensa é creditada no saldo da sua plataforma.

âmbito

Onde pode caçar.

No âmbito

  • createyourvpn.com e api.createyourvpn.com
  • os seus próprios domínios de loja
  • um servidor de teste explicitamente designado

Fora do âmbito

  • servidores e dados de parceiros e de utilizadores finais
  • negação de serviço / testes de stress
  • engenharia social, spam, phishing
  • acesso físico

Os testes ativos só são permitidos no ambiente de pré-produção (pp.*), para que a busca nunca toque nos parceiros ativos nem nos seus utilizadores. Os problemas que também afetam a produção continuam a contar — basta reproduzi-los no ambiente.

recompensas

Níveis de pagamento.

grave€100

RCE; acesso a outros servidores ou a chaves SSH; contorno de autorização; refutar uma afirmação SR sobre o armazenamento de chaves

médio€50

IDOR a dados de terceiros; XSS com sequestro de sessão; refutar outras afirmações SR

menor€25

XSS com impacto limitado; divulgação de informação interna

informativoHall da fama

notas de boas práticas; um cabeçalho em falta sem um exploit

regras

Curtas e honestas.

  • Execute os testes ativos apenas no ambiente de pré-produção designado (pp.*) — nunca contra a produção nem contra servidores de parceiros ou utilizadores.
  • A recompensa vai apenas para quem reporta primeiro; os duplicados recebem um crédito no Hall da fama.
  • É exigida uma prova de conceito reproduzível; «falta-lhe o cabeçalho X» sem um exploit é Hall da fama, não uma recompensa.
  • Divulgação responsável: 90 dias de silêncio; respondemos no prazo de 72 horas.
  • Porto seguro: não perseguiremos investigação de boa-fé dentro do âmbito.
  • Teste apenas nas suas próprias contas.
  • Fora do âmbito: servidores e dados de parceiros e utilizadores, negação de serviço, engenharia social, spam, acesso físico.

Encontrou algo?

Envie um relatório com uma prova de conceito reproduzível por email. Também nos pode encontrar através do ficheiro security.txt nos nossos domínios.

security@createyourvpn.com/.well-known/security.txt · 90 dias de silêncio · porto seguro