Centro de ayuda /Programa de Recompensas por Errores

Programa de Recompensas por Errores

Si crees que has encontrado una vulnerabilidad de seguridad en X-VPN, te animamos a que nos lo comuniques de inmediato. Investigaremos todos los informes legítimos y haremos todo lo posible por solucionar el problema rápidamente. Antes de informar, por favor revisa esta página, incluyendo nuestra política de divulgación responsable y las pautas de recompensa.

Política de Divulgación Responsable

Si cumples con las políticas a continuación al informar un problema de seguridad a X-VPN, no iniciaremos una demanda o investigación policial en tu contra como respuesta a tu informe. Te pedimos que:

  • 1. Nos das un tiempo razonable para investigar y mitigar un problema que informas antes de hacer público cualquier información sobre el informe o compartirla con otros.
  • 2. Haces un esfuerzo de buena fe para evitar violaciones de privacidad y alteraciones a otros, incluyendo (pero no limitado a) acceso no autorizado o destrucción de datos, e interrupción o degradación de nuestros servicios.
  • 3. No explotes un problema de seguridad que descubras por ninguna razón. (Esto incluye demostrar un riesgo adicional, como intentar comprometer datos sensibles de la empresa o buscar problemas adicionales).
  • 4. No violas intencionalmente ninguna otra ley o regulación aplicable, incluyendo (pero no limitado a) leyes y regulaciones que prohíben el acceso no autorizado a datos.
  • 5. A los efectos de esta política, no estás autorizado a acceder a los datos de usuario o datos de la empresa, incluyendo (pero no limitado a) información personal identificable y datos relacionados con una persona natural identificada o identificable.
  • 6. La decisión sobre si su informe califica y cuánto será recompensado está a nuestra discreción. Si bien seremos justos y generosos, al enviar un informe de error, usted acepta y acepta que nuestro veredicto es final.

Términos del Programa de Recompensas por Errores

Reconocemos y recompensamos a los investigadores de seguridad que nos ayudan a mantener a las personas seguras al informar vulnerabilidades en nuestros servicios. Las recompensas monetarias por dichos informes están completamente a discreción de X-VPN, basadas en el riesgo, el impacto y otros factores. Para potencialmente calificar para una recompensa, primero debes cumplir con los siguientes requisitos:

  • 1. Adhiérase a nuestra Política de Divulgación Responsable (ver arriba).
  • 2. Informar de un error de seguridad: es decir, identificar una vulnerabilidad en nuestros servicios o infraestructura que genere un riesgo para la seguridad o privacidad. (Ten en cuenta que X-VPN determina en última instancia el riesgo de un problema y que muchos errores de software no son problemas de seguridad).
  • 3. Investigamos y respondemos a todos los informes válidos. Debido al volumen de informes que recibimos, sin embargo, priorizamos las evaluaciones en función del riesgo y otros factores, y puede llevar algún tiempo antes de que recibas una respuesta.
  • 4. En caso de informes duplicados, otorgamos una recompensa al primer individuo que envíe un problema. (X-VPN determina duplicados y es posible que no comparta detalles sobre los otros informes). Una recompensa determinada solo se paga a un individuo.
  • 5. Nos reservamos el derecho de publicar informes (y actualizaciones correspondientes).
  • 6. Al enviar tu informe de error al correo electrónico bug@xvpn.io, y responder a las solicitudes de seguimiento de nuestro personal para actualizaciones o información adicional.

Rango de recompensa


Para la priorización/clasificación inicial de hallazgos, este programa utilizará la Taxonomía de Clasificación de Vulnerabilidades de Bugcrowd, ¡asegúrese de revisar esta tabla! También es importante tener en cuenta que en algunos casos, la prioridad de una vulnerabilidad se modificará debido a su probabilidad o impacto. En cualquier caso en el que se reduzca la importancia de un problema, se proporcionará una explicación completa y detallada al investigador, junto con la oportunidad de apelar y presentar argumentos para una mayor prioridad.

Gravedad técnicaRango de recompensa
p1Critical$500
p2Severe$200
p3Moderate$100
p4Low$50

Las presentaciones de P5 no reciben ninguna recompensa por este programa.

Fuera de alcance:

  • - Auto-XSS
  • - Registros DMARC mal configurados o inexistentes
  • - Suplantación de correo electrónico
  • - Suplantación de contenido
  • - No se aceptarán vulnerabilidades que se limiten a navegadores no compatibles. El exploit debe funcionar al menos en >= IE 9.
  • - Ataques de Fuerza Bruta
  • - Ataques DDoS
  • - Vulnerabilidades en servicios operados por terceros, como revendedores.
  • - Cualquier escenario que dependa de certificados SSL falsificados.
  • - Cualquier error o problema no relacionado con vulnerabilidades de seguridad.

Informando problemas de conexión

Si estás experimentando problemas de conexión, por favor repórtalo y ayúdanos a realizar algunas pruebas.

1. Envíenos el problema de conexión y su información de contacto de redes sociales a través de chat en vivo o correo electrónico support@xvpn.io

2. Nos pondremos en contacto contigo a través de las redes sociales. Luego te enviaremos versiones de prueba, por cierto, será útil si tienes una laptop.

Se le pagará $20/hora durante la prueba. Si resolvemos un problema gracias a su ayuda, como análisis de red o conexión remota, habrá un premio adicional de $10-1000.

Licencia

Derechos de autor Free connected limited Licenciado bajo la Licencia Apache, Versión 2.0 (la "Licencia"); no puede utilizar este archivo excepto en cumplimiento con la Licencia. Puede obtener una copia de la Licencia en

http://www.apache.org/licenses/LICENSE-2.0

A menos que sea requerido por la ley aplicable o acordado por escrito, el software distribuido bajo la Licencia se distribuye en una base "TAL CUAL", SIN GARANTÍAS O CONDICIONES DE NINGÚN TIPO, ya sea expresa o implícita. Consulta la Licencia para obtener el lenguaje específico que rige los permisos y limitaciones bajo la Licencia.