bug bounty · gratis att gå med · intern triage

Sätt dit oss — få en belöning.

Vårt eget program. Vi tar emot fynd av två slag: klassiska sårbarheter (spår A) och vederläggningar av vår säkerhetsrapport (spår B). Ersättningsnivåerna är gemensamma för båda; belöningen krediteras ditt plattformssaldo.

omfattning

Var du får jaga.

Inom omfattningen

  • createyourvpn.com och api.createyourvpn.com
  • dina egna butiksdomäner
  • en uttryckligen utsedd testserver

Utanför omfattningen

  • partners och slutanvändares servrar och data
  • denial-of-service / stresstestning
  • social manipulation, spam, nätfiske
  • fysisk åtkomst

Aktiv testning är tillåten endast i preprod-miljön (pp.*), så att jakten aldrig rör aktiva partner eller deras användare. Problem som även påverkar produktion räknas fortfarande — reproducera dem bara i miljön.

belöningar

Ersättningsnivåer.

allvarlig€100

RCE; åtkomst till andra servrar eller SSH-nycklar; kringgående av auktorisering; att vederlägga ett SR-påstående om nyckellagring

medel€50

IDOR till andras data; XSS med sessionskapning; att vederlägga andra SR-påståenden

mindre€25

XSS med begränsad påverkan; utlämnande av intern information

informativHall of fame

anmärkningar om bästa praxis; en saknad header utan exploit

regler

Kort och ärligt.

  • Kör aktiva tester endast i den utsedda preprod-miljön (pp.*) — aldrig mot produktion, partner- eller användarservrar.
  • Belöningen går endast till den första rapportören; dubbletter får en kreditering i hall of fame.
  • En reproducerbar proof of concept krävs; ”ni saknar header X” utan en exploit är hall of fame, inte en belöning.
  • Ansvarsfullt avslöjande: 90 dagars tystnad; vi svarar inom 72 timmar.
  • Safe harbor: vi vidtar inga åtgärder mot forskning i god tro inom omfattningen.
  • Testa endast på dina egna konton.
  • Utanför omfattningen: partners och användares servrar och data, denial of service, social manipulation, spam, fysisk åtkomst.

Hittade du något?

Skicka en rapport med en reproducerbar proof of concept via e-post. Du kan också hitta oss via filen security.txt på våra domäner.

security@createyourvpn.com/.well-known/security.txt · 90 dagars tystnad · safe harbor