bug bounty · gratis at deltage · intern triage

Fang os — få en belønning.

Vores eget program. Vi accepterer fund af to slags: klassiske sårbarheder (spor A) og modbevisninger af vores sikkerhedsrapport (spor B). Betalingsniveauerne er fælles for begge; belønningen krediteres din platformssaldo.

omfang

Hvor du må jage.

Inden for omfanget

  • createyourvpn.com og api.createyourvpn.com
  • dine egne butiksdomæner
  • en udtrykkeligt udpeget testserver

Uden for omfanget

  • partneres og slutbrugeres servere og data
  • denial-of-service / stresstest
  • social engineering, spam, phishing
  • fysisk adgang

Aktiv testning er kun tilladt i preprod-miljøet (pp.*), så jagten aldrig rører aktive partnere eller deres brugere. Problemer, der også påvirker produktion, tæller stadig — reproducér dem bare i miljøet.

belønninger

Betalingsniveauer.

alvorlig€100

RCE; adgang til andre servere eller SSH-nøgler; omgåelse af autorisation; modbevisning af en SR-påstand om nøgleopbevaring

mellem€50

IDOR til andres data; XSS med sessionskapring; modbevisning af andre SR-påstande

mindre€25

XSS med begrænset effekt; afsløring af intern information

informativHall of fame

bemærkninger om bedste praksis; en manglende header uden en exploit

regler

Kort og ærligt.

  • Kør kun aktive tests i det udpegede preprod-miljø (pp.*) — aldrig mod produktion, partner- eller brugerservere.
  • Belønningen går kun til den første indberetter; dubletter får en kreditering i hall of fame.
  • En reproducerbar proof of concept er påkrævet; „I mangler header X“ uden en exploit er hall of fame, ikke en belønning.
  • Ansvarlig offentliggørelse: 90 dages tavshed; vi svarer inden for 72 timer.
  • Safe harbor: vi retsforfølger ikke forskning i god tro inden for omfanget.
  • Test kun på dine egne konti.
  • Uden for omfanget: partneres og brugeres servere og data, denial of service, social engineering, spam, fysisk adgang.

Fandt du noget?

Send en rapport med en reproducerbar proof of concept via e-mail. Du kan også finde os via filen security.txt på vores domæner.

security@createyourvpn.com/.well-known/security.txt · 90 dages tavshed · safe harbor