Программа Bug Bounty
Пользователи доверяют нам, и мы считаем своим долгом бережно относиться к их безопасности и приватности.
Помогите сделать BlancVPN еще надежнее: сообщите о найденных уязвимостях и получите денежную награду
Сообщите об уязвимости, отправив письмо на security@blancvpn.com
Правила программы
Правила участия, оценка уязвимостей и размер вознаграждений
Перед отправкой информации об уязвимости ознакомьтесь с этими документами:
Политика раскрытия уязвимостей описывает как тестировать и что включать в отчет.
Политика безопасной гавани — ваша защита при поиске уязвимостей. Здесь описано, какие действия разрешены и безопасны при участии в программе BlancVPN Bug Bounty.
Размер вознаграждения определяется индивидуально нашей командой по безопасности.
Основной критерий — насколько уязвимость влияет на данные пользователей BlancVPN.
Выплаты могут варьироваться в зависимости от следующих факторов:
Предпосылки: требуются ли для эксплуатации дополнительные условия, выходящих за рамки самой уязвимости, например:
- нетипичные пользовательские настройки
- особые конфигурации или нестандартная сборка ПО
- непостоянный успех эксплуатации (например, зависит от условий окружения)
- требуются повышенные привилегии, взломанное/рутированное устройство и/или физический доступ
- Масштаб воздействия: насколько широко затрагиваются конфиденциальность, целостность или доступность сервиса.
- Ценность цепочки уязвимостей: может ли проблема способствовать возникновению более широкой цепочки уязвимостей.
- Возможность эксплуатации: вероятность того, что проблема может быть использована в реальной атаке.
- Новизна: является ли проблема новой, или уже известна/публична; приоритет получает первое подтвержденное сообщение.
- Качество сообщения: отчет должен включать воспроизводимое доказательство концепции или четкий путь, демонстрирующий воздействие. Желательно предоставить код или псевдокод.
Типы уязвимостей
Мы рассматриваем любые проблемы, способные навредить приватности или целостности данных пользователей.
Ниже — примеры уязвимостей, которые встречаются чаще всего.
Считаем уязвимостью
Утечка реального IP/DNS/WebRTC при использовании приложения BlancVPN
Обход аутентификации или кража сессий, доступ к чужим аккаунтам, покупкам
Утечки чувствительных данных: приватные ключи, токены, бэкапы, логи с PII
RCE/командные инъекции на серверах, приложениях
Доступ к базам данных, облакам, внутренним сервисам
Ошибки оплаты: бесплатная активация подписок, бесконечное продление, манипуляция ценой
Не считаем уязвимостью
DDoS, flood-тесты, brute-force и любые исследования, нарушающие доступность
Социальная инженерия, фишинг сотрудников или пользователей, физический доступ
Self-XSS, clickjacking и отсутствие некоторых security-заголовков на страницах без чувствительных данных
Сообщения об “устаревших библиотеках” без доказуемой эксплуатации
Проблемы сторонних клиентов VPN (например, в приложениях Wireguard, OpenVPN или Outline)
404/5xx, опечатки, битые ссылки, косметические баги
Сколько мы выплачиваем
Сумма вознаграждения зависит от того, насколько опасна уязвимость
| уровень угрозы | диапазон выплат | описание |
|---|---|---|
| Критический | $15 000 – $50 000 | Позволяет получить полный контроль над окружением сервиса, массовый доступ к данным пользователей и платежным операциям. Не требует специальных условий или предварительного доступа для эксплуатации. |
| Высокий | $2 000 – $15 000 | Позволяет получить частичный контроль над окружением сервиса и доступ к данным большого количества пользователей. Не требует специальных условий или предварительного доступа для эксплуатации. |
| Средний | $500 – $2 000 | Позволяет получить контроль над небольшой частью окружения сервиса и доступ к данным большого количества пользователей. Воспроизведение может требовать множества шагов. |
| Низкий | до $500 | Сложно воспроизвести, воздействие ограниченное. |
уровень угрозы
диапазон выплат
описание
уровень угрозы
диапазон выплат
описание
уровень угрозы
диапазон выплат
описание
уровень угрозы
диапазон выплат
описание
Остались вопросы? Пишите на security@blancvpn.com