Wir laden Sicherheitsforscher und alle, die eine Schwachstelle in unserem Service entdecken, ein, an unserem Bug-Bounty-Programm teilzunehmen.
Das Bug-Bounty-Programm vergibt finanzielle Belohnungen von 100 bis zu 5.000 US-Dollar oder mehr, abhängig von der Kritikalität der gefundenen Schwachstelle.

Sie können einen Bericht über eine Sicherheitslücke an contact@redshieldvpn.com senden. Dieser Bericht muss den unten aufgeführten Regeln entsprechen.

Folgende Bedingungen müssen erfüllt sein, um am Bug-Bounty-Programm teilzunehmen:

1. Die Nachricht muss eine detaillierte Schritt-für-Schritt-Beschreibung einer oder mehrerer folgender Schwachstellen enthalten:
- Unautorisierter Zugriff auf Benutzerkonten.
- Unautorisierter Zugriff auf Informationen über Benutzerkonten und die darin enthaltenen Daten.
- Das Erlangen der Kontrolle über Teile der Red Shield VPN-Infrastruktur oder Zugriff darauf.
- Andere Schwachstellen, die zu einem unautorisierten Zugriff auf fremde Konten oder die Infrastruktur führen.

2. Die Schwachstelle muss anhand der beschriebenen Schritte reproduzierbar sein.

3. Die Schwachstelle darf nicht auf physischem Zugriff auf Red Shield VPN-Geräte, Büros oder Arbeitsplätze basieren.

4. Die Identifizierung und Untersuchung der Schwachstelle hat den Betrieb von Red Shield VPN nicht beeinträchtigt und dessen Verfügbarkeit für Benutzer in keiner Weise eingeschränkt.

5. Folgende Komponenten werden vom Programm abgedeckt:
- Die Websites redshieldvpn.com, my.redshieldvpn.com und pay.redshieldvpn.com.
- Red Shield VPN-Apps und Browser-Erweiterungen, die Sie unter redshieldvpn.com erhalten können.
- Red Shield VPN-Knoten und -Server, einschließlich Datenbanken, Backup-Server usw.

6. Die Informationen über die Schwachstelle wurden weder an Dritte weitergegeben noch veröffentlicht, bevor sie behoben wurde.

7. Der Bericht darf Folgendes nicht enthalten:
- Clickjacking.
- Fehlende Cookie-Flags (HttpOnly, Secure usw.).
- Irrelevante Berichte von Scannern oder automatischen Tools.
- Informationen über Banner oder Versionshinweise, SSL/TLS-Best Practices usw.
- Kontodiebstahl, der auf externer Schadsoftware auf dem Benutzergerät beruht.
- DoS- und DDoS-Angriffe.
- SPF- und DKIM-Probleme.
- Self-XSS oder Probleme, die nur über Self-XSS ausnutzbar sind.
- Probleme in veralteten App- oder Browser-Extension-Versionen, die nicht mehr auf redshieldvpn.com verfügbar sind.
- Angriffe, die physischen Zugriff auf das Gerät des Benutzers erfordern.
- Angriffe, die Root-Zugriff auf das Benutzergerät erfordern.
- Schwachstellen, die Social Engineering erfordern, um sensible Zugangsdaten zu erhalten, oder den Benutzer zu einer unwahrscheinlichen Abfolge von Aktionen zwingen.
- Schwachstellen, die auf den Protokollen und Bibliotheken (z.B. OpenVPN) basieren.
- Kontodiebstahl durch Brute Force, einschließlich der Nutzung geleakter Datenbanken von anderen Ressourcen.