bug bounty · участь безкоштовна · тріаж власними силами

Упіймайте нас — отримайте винагороду.

Наша власна програма. Ми приймаємо знахідки двох видів: класичні вразливості (трек A) і спростування нашого звіту з безпеки (трек B). Рівні виплат спільні для обох; винагорода зараховується на ваш баланс платформи.

область

Де можна полювати.

В області

  • createyourvpn.com і api.createyourvpn.com
  • ваші власні домени вітрини
  • явно позначений тестовий сервер

Поза областю

  • сервери й дані партнерів і кінцевих користувачів
  • відмова в обслуговуванні / стрес-тестування
  • соціальна інженерія, спам, фішинг
  • фізичний доступ

Активне тестування дозволене лише на препрод-стенді (pp.*), тому полювання ніколи не зачіпає живих партнерів чи їхніх користувачів. Проблеми, які зачіпають і прод, усе одно зараховуються — просто відтворіть їх на стенді.

винагороди

Рівні виплат.

велика€100

RCE; доступ до чужих серверів чи SSH-ключів; обхід авторизації; спростування SR-твердження про зберігання ключів

середня€50

IDOR до чужих даних; XSS із перехопленням сесії; спростування інших SR-тверджень

дрібна€25

XSS з обмеженим впливом; розкриття внутрішньої інформації

інформаційнаЗал слави

зауваження про найкращі практики; відсутній заголовок без експлойта

правила

Коротко і чесно.

  • Проводьте активні тести лише на виділеному препрод-стенді (pp.*) — ніколи проти прода, серверів партнерів чи користувачів.
  • Винагорода дістається лише першому, хто повідомив; дублікати потрапляють у зал слави.
  • Потрібен відтворюваний proof of concept; «у вас немає заголовка X» без експлойта — це зал слави, а не винагорода.
  • Відповідальне розкриття: 90 днів тиші; ми відповідаємо протягом 72 годин.
  • Безпечна гавань: ми не переслідуємо добросовісне дослідження в межах області.
  • Тестуйте лише на своїх власних акаунтах.
  • Поза областю: сервери й дані партнерів і користувачів, відмова в обслуговуванні, соціальна інженерія, спам, фізичний доступ.

Щось знайшли?

Надішліть звіт із відтворюваним proof of concept на email. Також нас можна знайти через файл security.txt на наших доменах.

security@createyourvpn.com/.well-known/security.txt · 90 днів тиші · безпечна гавань