버그 바운티 프로그램
전 세계 수천 명의 사용자가 저희를 믿고 데이터를 맡기고 있습니다. 사용자의 보안과 개인 정보를 신중하게 보호하는 것은 저희의 의무입니다.
BlancVPN을 더 안전하게 만드는 데 도움을 주세요: 취약점을 신고하고 보상을 받으세요.
취약점을 발견하셨나요? [email protected] 으로 보고서를 보내주세요
프로그램 규칙
제출 요건, 평가 기준 및 보상 절차.
보상금은 보안팀에서 사례별로 결정합니다. 가장 중요한 요소는 해당 문제가 사용자의 데이터에 얼마나 영향을 미칠 수 있는지입니다.
지급금은 다음과 같은 요인에 따라 달라질 수 있습니다.
전제조건: 예를 들어 익스플로잇에 추가적인 비표준 조건이 필요한지 여부:
- 비정상적인 사용자 설정
- 사용자 지정 빌드 또는 비표준 BlancVPN 소프트웨어 구성
- 신뢰할 수 없는 악용 성공(환경 조건에 따라 다름)
- 상승된 권한, 루팅/탈옥된 기기, 물리적 액세스가 필요함.
- 영향 범위: 당사 서비스의 기밀성, 무결성 또는 가용성이 얼마나 광범위하게 영향을 받을 수 있는지를 나타냅니다.
- 익스플로잇 체인의 가치: 해당 이슈가 더 광범위한 취약점 연쇄와 더 큰 영향력으로 이어질 수 있는지 여부입니다.
- 익스플로잇 가능성: 해당 이슈가 실제 공격에 사용될 수 있는 가능성입니다.
- 신규성: 새로운 문제인지 이미 알려진/공개된 문제인지 여부; 유효한 첫 번째 신고에 우선순위가 부여됩니다.
- 보고서 품질: 좋은 보고서에는 재현 가능한 개념 증명 또는 영향력을 입증하는 명확한 경로가 포함됩니다. 코드 또는 의사 코드를 제공하는 것이 좋습니다.
취약점 유형
당사는 사용자의 개인정보 또는 데이터 무결성에 영향을 미칠 수 있는 모든 취약점에 대한 신고를 접수합니다. 다음은 몇 가지 일반적인 예입니다:
수락된 보고서
BlancVPN 애플리케이션 사용 시 실제 IP/DNS/WebRTC가 유출됩니다.
인증 우회 또는 세션 도용 - 공격자가 다른 사용자의 계정에 액세스하거나 구매를 할 수 있도록 허용합니다.
민감한 데이터 노출 - 개인 키, 토큰, 백업 또는 개인 식별 정보(PII)가 포함된 로그.
서버 또는 애플리케이션에서 원격 코드 실행(RCE)/명령어 주입.
데이터베이스, 클라우드 리소스 또는 내부 서비스에 액세스합니다.
결제 문제 - 무료 구독 활성화, 무한 갱신 또는 가격 조작 등.
자격 없음
DDoS, 플러딩 테스트, 무차별 대입 및 가용성을 방해하는 모든 테스트.
직원 또는 사용자를 대상으로 하는 소셜 엔지니어링 또는 피싱, 물리적 액세스 공격.
민감한 데이터를 노출하지 않는 페이지의 셀프-XSS, 클릭재킹 또는 보안 헤더 누락.
입증 가능한 익스플로잇이나 영향이 없는 오래된 라이브러리에 대한 보고.
타사 VPN 클라이언트(예: WireGuard, OpenVPN 또는 Outline 앱)의 문제.
404/5xx 오류, 오타, 끊어진 링크 및 외관상 버그.
지불하는 금액
보상 금액은 취약점의 심각도에 따라 다릅니다.
| 위협 수준 | 지급 범위 | 설명 |
|---|---|---|
| 중요 | $15 000 - $50 000 | 서비스 환경을 완전히 제어하고 사용자 데이터 및 결제 작업에 대한 대량 액세스를 허용합니다. 익스플로잇을 위해 특별한 조건이나 사전 액세스가 필요하지 않습니다. |
| 높음 | $2 000 - $15 000 | 서비스 환경을 부분적으로 제어하고 많은 사용자의 데이터에 액세스할 수 있습니다. 익스플로잇을 위해 특별한 조건이나 사전 접근 권한이 필요하지 않습니다. |
| Medium | $500 - $2 000 | 서비스 환경의 일부에 대한 제어와 많은 사용자의 데이터에 대한 액세스를 허용합니다. 복제를 위해서는 여러 단계가 필요할 수 있습니다. |
| 낮음 | 최대 $500 | 재현하기 어렵고 영향력이 제한적입니다. |
위협 수준
지급 범위
설명
위협 수준
지급 범위
설명
위협 수준
지급 범위
설명
위협 수준
지급 범위
설명
질문이 있으신가요? 문의 [email protected]