bug bounty · участие бесплатное · триаж своими силами

Поймайте нас — получите награду.

Наша собственная программа. Мы принимаем находки двух видов: классические уязвимости (трек A) и опровержения нашего отчёта по безопасности (трек B). Уровни выплат общие для обоих; награда зачисляется на ваш баланс платформы.

область

Где можно охотиться.

В области

  • createyourvpn.com и api.createyourvpn.com
  • ваши собственные домены витрины
  • явно обозначенный тестовый сервер

Вне области

  • серверы и данные партнёров и конечных пользователей
  • отказ в обслуживании / стресс-тестирование
  • социальная инженерия, спам, фишинг
  • физический доступ

Активное тестирование разрешено только на препрод-стенде (pp.*), поэтому охота никогда не задевает живых партнёров или их пользователей. Проблемы, которые затрагивают и прод, всё равно засчитываются — просто воспроизведите их на стенде.

награды

Уровни выплат.

крупная€100

RCE; доступ к чужим серверам или SSH-ключам; обход авторизации; опровержение SR-утверждения о хранении ключей

средняя€50

IDOR к чужим данным; XSS с перехватом сессии; опровержение других SR-утверждений

мелкая€25

XSS с ограниченным влиянием; раскрытие внутренней информации

информационнаяЗал славы

замечания о лучших практиках; отсутствующий заголовок без эксплойта

правила

Коротко и честно.

  • Проводите активные тесты только на выделенном препрод-стенде (pp.*) — никогда против прода, серверов партнёров или пользователей.
  • Награда достаётся только первому сообщившему; дубликаты попадают в зал славы.
  • Требуется воспроизводимый proof of concept; «у вас нет заголовка X» без эксплойта — это зал славы, а не награда.
  • Ответственное раскрытие: 90 дней тишины; мы отвечаем в течение 72 часов.
  • Безопасная гавань: мы не преследуем добросовестное исследование в рамках области.
  • Тестируйте только на своих собственных аккаунтах.
  • Вне области: серверы и данные партнёров и пользователей, отказ в обслуживании, социальная инженерия, спам, физический доступ.

Что-то нашли?

Отправьте отчёт с воспроизводимым proof of concept по email. Также нас можно найти через файл security.txt на наших доменах.

security@createyourvpn.com/.well-known/security.txt · 90 дней тишины · безопасная гавань