BlancVPN seguro

Programa de recompensas por fallos

Miles de usuarios de todo el mundo nos confían sus datos. Es nuestro deber proteger cuidadosamente la seguridad y privacidad de los usuarios.
Ayúdanos a hacer BlancVPN más seguro: informa de vulnerabilidades y obtén recompensas.

Importante

Normas del programa

Requisitos de presentación, criterios de evaluación y proceso de recompensa.

Antes de enviar un informe de vulnerabilidad, lea los siguientes documentos:

Política de divulgación de vulnerabilidades explica los métodos de prueba aceptados y qué debe incluir en su informe.

Política de puerto seguro describe qué acciones están permitidas y protegidas de riesgos legales al participar en el programa Bug Bounty de BlancVPN.

Las recompensas son decididas caso por caso por nuestro equipo de seguridad. El factor principal es cuánto podría afectar el problema a los datos de nuestros usuarios.

Las recompensas pueden variar en función de factores como:

  • Requisitos previos: si la explotación requiere condiciones adicionales no estándar, por ejemplo:

    • configuraciones de usuario inusuales
    • custom builds o configuraciones no estándar del software BlancVPN
    • éxito de explotación no fiable (depende de las condiciones del entorno)
    • requiere privilegios elevados, un dispositivo rooteado/jailbreak, y/o acceso físico.
  • Alcance del impacto: en qué medida puede verse afectada la confidencialidad, integridad o disponibilidad de nuestros servicios.
  • Valor de una cadena de exploits: si el problema puede conducir a una cadena de vulnerabilidades más amplia y de mayor impacto.
  • Explotabilidad: probabilidad de que el problema pueda utilizarse en un ataque real.
  • Novedad: si el problema es nuevo o ya conocido/público; se da prioridad al primer informe válido.
  • Calidad del informe: un buen informe incluye una prueba de concepto reproducible o un camino claro que demuestre el impacto. Es preferible proporcionar código o pseudocódigo.

Tipos de vulnerabilidades

Aceptamos informes sobre cualquier vulnerabilidad que pueda afectar a la privacidad de los usuarios o a la integridad de sus datos. He aquí algunos ejemplos comunes:

Informes aceptados

  • Fugas reales de IP/DNS/WebRTC al utilizar la aplicación BlancVPN.

  • Elusión de autenticación o robo de sesión: permite a los atacantes acceder a cuentas de otros usuarios o realizar compras.

  • Exposición de datos sensibles: claves privadas, tokens, copias de seguridad o registros que contengan información personal identificable (PII).

  • Ejecución remota de código (RCE)/inyección de comandos en servidores o aplicaciones.

  • Acceso a bases de datos, recursos en la nube o servicios internos.

  • Problemas de pago: por ejemplo, activación gratuita de suscripciones, renovaciones infinitas o manipulación de precios.

No admisible

  • DDoS, pruebas de inundación, fuerza bruta y cualquier prueba que interrumpa la disponibilidad.

  • Ingeniería social o phishing, dirigidos a empleados o usuarios, y ataques de acceso físico.

  • Self-XSS, clickjacking o falta de encabezados de seguridad en páginas que no exponen datos sensibles.

  • Informes de bibliotecas obsoletas sin un exploit o impacto demostrable.

  • Problemas en clientes VPN de terceros (por ejemplo, aplicaciones WireGuard, OpenVPN o Outline).

  • errores 404/5xx, erratas, enlaces rotos y fallos estéticos.

Valor = recompensa

Cuánto pagamos

El importe de la recompensa depende de la gravedad de la vulnerabilidad.

nivel de amenazagama de pagosdescripción
Crítica$15 000 - $50 000Permite el control total del entorno del servicio, el acceso masivo a los datos de los usuarios y las operaciones de pago. No requiere condiciones especiales ni acceso previo para su explotación.
Alta$2 000 - $15 000Puede proporcionar un control parcial del entorno del servicio y acceso a los datos de muchos usuarios. No requiere condiciones especiales ni acceso previo para su explotación.
Medio$500 - $2 000Permite controlar una pequeña parte del entorno del servicio y acceder a los datos de muchos usuarios. La reproducción puede requerir múltiples pasos.
Bajohasta 500Difícil de reproducir, impacto limitado.
nivel de amenaza
Crítica
gama de pagos
$15 000 - $50 000
descripción
Permite el control total del entorno del servicio, el acceso masivo a los datos de los usuarios y las operaciones de pago. No requiere condiciones especiales ni acceso previo para su explotación.
nivel de amenaza
Alta
gama de pagos
$2 000 - $15 000
descripción
Puede proporcionar un control parcial del entorno del servicio y acceso a los datos de muchos usuarios. No requiere condiciones especiales ni acceso previo para su explotación.
nivel de amenaza
Medio
gama de pagos
$500 - $2 000
descripción
Permite controlar una pequeña parte del entorno del servicio y acceder a los datos de muchos usuarios. La reproducción puede requerir múltiples pasos.
nivel de amenaza
Bajo
gama de pagos
hasta 500
descripción
Difícil de reproducir, impacto limitado.

¿Tiene alguna pregunta? Póngase en contacto con [email protected]