Fang os — få en belønning.
Vores eget program. Vi accepterer fund af to slags: klassiske sårbarheder (spor A) og modbevisninger af vores sikkerhedsrapport (spor B). Betalingsniveauerne er fælles for begge; belønningen krediteres din platformssaldo.
Hvor du må jage.
Inden for omfanget
- createyourvpn.com og api.createyourvpn.com
- dine egne butiksdomæner
- en udtrykkeligt udpeget testserver
Uden for omfanget
- partneres og slutbrugeres servere og data
- denial-of-service / stresstest
- social engineering, spam, phishing
- fysisk adgang
Aktiv testning er kun tilladt i preprod-miljøet (pp.*), så jagten aldrig rører aktive partnere eller deres brugere. Problemer, der også påvirker produktion, tæller stadig — reproducér dem bare i miljøet.
Betalingsniveauer.
RCE; adgang til andre servere eller SSH-nøgler; omgåelse af autorisation; modbevisning af en SR-påstand om nøgleopbevaring
IDOR til andres data; XSS med sessionskapring; modbevisning af andre SR-påstande
XSS med begrænset effekt; afsløring af intern information
bemærkninger om bedste praksis; en manglende header uden en exploit
Kort og ærligt.
- Kør kun aktive tests i det udpegede preprod-miljø (pp.*) — aldrig mod produktion, partner- eller brugerservere.
- Belønningen går kun til den første indberetter; dubletter får en kreditering i hall of fame.
- En reproducerbar proof of concept er påkrævet; „I mangler header X“ uden en exploit er hall of fame, ikke en belønning.
- Ansvarlig offentliggørelse: 90 dages tavshed; vi svarer inden for 72 timer.
- Safe harbor: vi retsforfølger ikke forskning i god tro inden for omfanget.
- Test kun på dine egne konti.
- Uden for omfanget: partneres og brugeres servere og data, denial of service, social engineering, spam, fysisk adgang.
Fandt du noget?
Send en rapport med en reproducerbar proof of concept via e-mail. Du kan også finde os via filen security.txt på vores domæner.