Programme Bug Bounty de Red Shield VPN : Trouvez des vulnérabilités et gagnez des récompenses

Nous invitons les chercheurs en sécurité et toute personne découvrant une vulnérabilité dans notre service à participer à notre programme de Bug Bounty.
Le programme offre des récompenses financières allant de 100 à 5 000 $ (voire plus), selon la criticité de la vulnérabilité découverte.

Vous pouvez soumettre un rapport de vulnérabilité à contact@redshieldvpn.com. Ce rapport doit respecter les règles ci-dessous.

Les conditions suivantes doivent être remplies pour participer au programme Bug Bounty :

1. Le message doit contenir une description détaillée, étape par étape, d’une ou plusieurs des vulnérabilités suivantes :
- Accès non autorisé à des comptes utilisateurs.
- Accès non autorisé aux informations sur les comptes utilisateurs ou aux données qui y sont stockées.
- Prise de contrôle de toute partie de l’infrastructure de Red Shield VPN ou accès à ses informations.
- Autres vulnérabilités entraînant un accès non autorisé à des comptes tiers ou à l’infrastructure du service.

2. La vulnérabilité doit pouvoir être reproduite en suivant les étapes décrites.

3. La vulnérabilité ne doit pas reposer sur un accès physique à l’équipement de Red Shield VPN, à ses bureaux ou aux postes de travail de ses employés.

4. L’identification et l’investigation de la vulnérabilité n’ont pas perturbé le fonctionnement de Red Shield VPN, ni affecté sa disponibilité pour les utilisateurs.

5. Composants couverts par le programme :
- Les sites redshieldvpn.com, my.redshieldvpn.com, pay.redshieldvpn.com.
- Les applications Red Shield VPN et extensions de navigateur, disponibles sur redshieldvpn.com.
- Les nœuds et serveurs Red Shield VPN, y compris bases de données, serveurs de sauvegarde, etc.

6. Les informations sur la vulnérabilité n’ont été transmises à aucun tiers et n’ont pas été publiées avant qu’elle ne soit corrigée.

7. Le rapport ne doit pas inclure :
- Du clickjacking.
- L’absence de flags de cookie (HttpOnly, Secure, etc.).
- Des rapports non pertinents provenant de scanners ou d’outils automatisés.
- Des détails d’en-têtes (bannières), de versions ou de bonnes pratiques SSL/TLS, etc.
- Des détournements de compte liés à des malwares externes sur l’appareil de l’utilisateur.
- Des attaques DoS ou DDoS.
- Des problèmes SPF ou DKIM.
- Du Self-XSS ou des problèmes exploitables uniquement via Self-XSS.
- Des problèmes sur d’anciennes versions d’applications ou d’extensions de navigateur qui ne sont plus disponibles sur redshieldvpn.com.
- Des attaques nécessitant un accès physique à l’appareil de l’utilisateur.
- Des attaques nécessitant un accès root à l’appareil de l’utilisateur.
- Des vulnérabilités nécessitant du social engineering pour obtenir des identifiants sensibles ou obligeant l’utilisateur à réaliser une suite d’actions peu probable.
- Des vulnérabilités liées aux protocoles et bibliothèques VPN (tels qu’OpenVPN et autres).
- Des détournements de compte via bruteforce, y compris en utilisant des bases de données compromises d’autres sources.