Bug Bounty programı
Dünya çapında binlerce kullanıcı verileri konusunda bize güveniyor. Kullanıcıların güvenliğini ve gizliliğini dikkatle korumak bizim görevimizdir.
BlancVPN'i daha güvenli hale getirmemize yardımcı olun: güvenlik açıklarını bildirin ve ödüllendirilin.
Bir güvenlik açığı mı buldunuz? Raporunuzu [email protected] adresine gönderin
Program kuralları
Başvuru koşulları, değerlendirme kriterleri ve ödül süreci.
Bir güvenlik açığı raporu göndermeden önce, lütfen aşağıdaki belgeleri okuyun:
Zafiyet ifşa politikası kabul edilen test yöntemlerini ve raporunuza nelerin dahil edileceğini açıklar.
Güvenli liman politikası BlancVPN Bug Bounty programına katılırken hangi eylemlere izin verildiğini ve yasal riskten korunduğunu açıklar.
Ödüller, güvenlik ekibimiz tarafından vaka bazında kararlaştırılır. Birincil faktör, sorunun kullanıcılarımızın verilerini ne kadar etkileyebileceğidir.
Ödemeler aşağıdaki gibi faktörlere göre değişebilir:
Önkoşullar: istismarın ek, standart olmayan koşullar gerektirip gerektirmediği, örneğin:
- alışılmadık kullanıcı ayarları
- BlancVPN yazılımının özel yapıları veya standart dışı yapılandırmaları
- güvenilmez sömürü başarısı (ortam koşullarına bağlıdır)
- yükseltilmiş ayrıcalıklar, köklü / hapishanede kırılmış bir cihaz ve/veya fiziksel erişim gerektirir.
- Etki kapsamı: hizmetlerimizin gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ne kadar geniş çapta etkilenebileceği.
- İstismar zincirinin değeri: sorunun daha geniş bir güvenlik açığı zincirine ve daha büyük bir etkiye yol açıp açamayacağı.
- Kullanılabilirlik: sorunun gerçek dünyadaki bir saldırıda kullanılabilme olasılığı.
- Yenilik: sorunun yeni veya zaten bilinen/kamuya açık olup olmadığı; öncelik ilk geçerli rapora verilir.
- Rapor kalitesi: iyi bir rapor, tekrarlanabilir kavram kanıtı veya etkiyi gösteren net bir yol içerir. Kod veya sözde kod sağlanması tercih edilir.
Güvenlik açığı türleri
Kabul edilen raporlar
BlancVPN uygulamasını kullanırken gerçek IP/DNS/WebRTC sızıntıları.
Kimlik doğrulama atlaması veya oturum hırsızlığı - saldırganların diğer kullanıcıların hesaplarına erişmesine veya alışveriş yapmasına olanak tanır.
Hassas verilere maruz kalma - kişisel olarak tanımlanabilir bilgiler (PII) içeren özel anahtarlar, jetonlar, yedekler veya günlükler.
Sunucularda veya uygulamalarda uzaktan kod yürütme (RCE)/komut enjeksiyonu.
Veritabanlarına, bulut kaynaklarına veya dahili hizmetlere erişim.
Ödeme sorunları - örneğin ücretsiz abonelik aktivasyonu, sonsuz yenileme veya fiyat manipülasyonu.
Uygun değil
DDoS, flooding testleri, brute-force ve kullanılabilirliği bozan her türlü test.
Sosyal mühendislik veya oltalama, çalışanları veya kullanıcıları hedef alma ve fiziksel erişim saldırıları.
Self-XSS, clickjacking veya hassas verileri açığa çıkarmayan sayfalardaki eksik güvenlik başlıkları.
Kanıtlanabilir bir istismar veya etkisi olmayan eski kütüphanelerin raporları.
Üçüncü taraf VPN istemcilerindeki sorunlar (örneğin, WireGuard, OpenVPN veya Outline uygulamaları).
404/5xx hataları, yazım hataları, kırık bağlantılar ve kozmetik hatalar.
Ne kadar ödüyoruz
Ödül miktarı güvenlik açığının ciddiyetine bağlıdır.
| tehdi̇t sevi̇yesi̇ | ödeme aralığı | açıklama |
|---|---|---|
| Kritik | $15 000 - $50 000 | Hizmet ortamının tam kontrolüne, kullanıcıların verilerine ve ödeme işlemlerine toplu erişime izin verir. Kullanmak için özel koşullar veya önceden erişim gerektirmez. |
| Yüksek | $2 000 - $15 000 | Hizmet ortamının kısmi kontrolünü ve birçok kullanıcının verilerine erişim sağlayabilir. Kullanmak için özel koşullar veya önceden erişim gerektirmez. |
| Orta | $500 - $2 000 | Hizmet ortamının küçük bir kısmı üzerinde kontrol ve birçok kullanıcının verilerine erişim sağlar. Yeniden üretim birden fazla adım gerektirebilir. |
| Düşük | 500 dolara kadar | Yeniden üretilmesi zor, etkisi sınırlı. |
tehdi̇t sevi̇yesi̇
ödeme aralığı
açıklama
tehdi̇t sevi̇yesi̇
ödeme aralığı
açıklama
tehdi̇t sevi̇yesi̇
ödeme aralığı
açıklama
tehdi̇t sevi̇yesi̇
ödeme aralığı
açıklama
Sorularınız mı var? [email protected] ile iletişime geçin