Sätt dit oss — få en belöning.
Vårt eget program. Vi tar emot fynd av två slag: klassiska sårbarheter (spår A) och vederläggningar av vår säkerhetsrapport (spår B). Ersättningsnivåerna är gemensamma för båda; belöningen krediteras ditt plattformssaldo.
Var du får jaga.
Inom omfattningen
- createyourvpn.com och api.createyourvpn.com
- dina egna butiksdomäner
- en uttryckligen utsedd testserver
Utanför omfattningen
- partners och slutanvändares servrar och data
- denial-of-service / stresstestning
- social manipulation, spam, nätfiske
- fysisk åtkomst
Aktiv testning är tillåten endast i preprod-miljön (pp.*), så att jakten aldrig rör aktiva partner eller deras användare. Problem som även påverkar produktion räknas fortfarande — reproducera dem bara i miljön.
Ersättningsnivåer.
RCE; åtkomst till andra servrar eller SSH-nycklar; kringgående av auktorisering; att vederlägga ett SR-påstående om nyckellagring
IDOR till andras data; XSS med sessionskapning; att vederlägga andra SR-påståenden
XSS med begränsad påverkan; utlämnande av intern information
anmärkningar om bästa praxis; en saknad header utan exploit
Kort och ärligt.
- Kör aktiva tester endast i den utsedda preprod-miljön (pp.*) — aldrig mot produktion, partner- eller användarservrar.
- Belöningen går endast till den första rapportören; dubbletter får en kreditering i hall of fame.
- En reproducerbar proof of concept krävs; ”ni saknar header X” utan en exploit är hall of fame, inte en belöning.
- Ansvarsfullt avslöjande: 90 dagars tystnad; vi svarar inom 72 timmar.
- Safe harbor: vi vidtar inga åtgärder mot forskning i god tro inom omfattningen.
- Testa endast på dina egna konton.
- Utanför omfattningen: partners och användares servrar och data, denial of service, social manipulation, spam, fysisk åtkomst.
Hittade du något?
Skicka en rapport med en reproducerbar proof of concept via e-post. Du kan också hitta oss via filen security.txt på våra domäner.