Упіймайте нас — отримайте винагороду.
Наша власна програма. Ми приймаємо знахідки двох видів: класичні вразливості (трек A) і спростування нашого звіту з безпеки (трек B). Рівні виплат спільні для обох; винагорода зараховується на ваш баланс платформи.
Де можна полювати.
В області
- createyourvpn.com і api.createyourvpn.com
- ваші власні домени вітрини
- явно позначений тестовий сервер
Поза областю
- сервери й дані партнерів і кінцевих користувачів
- відмова в обслуговуванні / стрес-тестування
- соціальна інженерія, спам, фішинг
- фізичний доступ
Активне тестування дозволене лише на препрод-стенді (pp.*), тому полювання ніколи не зачіпає живих партнерів чи їхніх користувачів. Проблеми, які зачіпають і прод, усе одно зараховуються — просто відтворіть їх на стенді.
Рівні виплат.
RCE; доступ до чужих серверів чи SSH-ключів; обхід авторизації; спростування SR-твердження про зберігання ключів
IDOR до чужих даних; XSS із перехопленням сесії; спростування інших SR-тверджень
XSS з обмеженим впливом; розкриття внутрішньої інформації
зауваження про найкращі практики; відсутній заголовок без експлойта
Коротко і чесно.
- Проводьте активні тести лише на виділеному препрод-стенді (pp.*) — ніколи проти прода, серверів партнерів чи користувачів.
- Винагорода дістається лише першому, хто повідомив; дублікати потрапляють у зал слави.
- Потрібен відтворюваний proof of concept; «у вас немає заголовка X» без експлойта — це зал слави, а не винагорода.
- Відповідальне розкриття: 90 днів тиші; ми відповідаємо протягом 72 годин.
- Безпечна гавань: ми не переслідуємо добросовісне дослідження в межах області.
- Тестуйте лише на своїх власних акаунтах.
- Поза областю: сервери й дані партнерів і користувачів, відмова в обслуговуванні, соціальна інженерія, спам, фізичний доступ.
Щось знайшли?
Надішліть звіт із відтворюваним proof of concept на email. Також нас можна знайти через файл security.txt на наших доменах.