К основному содержимому
Что мы предлагаем
Локации Реферальная программа Партнёрская программа Что такое NPV
Инструменты
Генератор паролей Конфигуратор роутера Узнать мой IP Войти Тарифы

Помогите сделать NPV безопаснее

Открытая программа вознаграждений за уязвимости. Сообщите о найденной проблеме и получите вознаграждение по одному из четырёх уровней. Прозрачные правила и безопасная гавань для добросовестных исследователей.

  • Критическая

    50 000 – 200 000 ₽
    Полная компрометация сервиса, массовый доступ к ключам или данным пользователей, удалённое выполнение кода на продакшене.

  • Высокая

    10 000 – 50 000 ₽
    Частичный контроль сервиса, доступ к данным значимой группы пользователей, обход аутентификации или биллинга.

  • Средняя

    2 000 – 10 000 ₽
    Локальный обход проверок, IDOR с ограниченным эффектом, утечки конфигов без чувствительных данных.

  • Низкая

    500 – 2 000 ₽
    Минорные проблемы с ограниченным воздействием, информационные утечки без PII, маловероятная или теоретическая эксплуатация без реального риска.
Как мы оцениваем уровень: CVSS-оценка, реальное воздействие на пользователей и инфраструктуру, сложность эксплуатации, новизна. Финальное решение остаётся за RouteSense, но мы всегда объясняем, почему.

Что принимаем,
а что нет

В скоуп входит вся наша инфраструктура: лендинг, бот, личный кабинет, API, серверы NPV, биллинг.

В скоупе

  • Утечки IP/DNS/WebRTC при активном NPV-подключении
  • Обход аутентификации, кража или фиксация сессий, IDOR
  • Утечки токенов, ключей подписок и PII
  • RCE / SQLi / command injection на нашей инфраструктуре
  • Несанкционированный доступ к базам, внутренним сервисам, конфигам
  • Ошибки биллинга и платежей через WATA, Heleket, Telegram Stars
  • Server-Side Request Forgery, обход CSRF/CORS-защит

Вне скоупа

  • DDoS, brute-force, любые попытки нарушить доступность
  • Социальная инженерия и фишинг сотрудников или пользователей
  • Self-XSS, clickjacking без реального воздействия
  • Отсутствие security-headers и SPF/DKIM без PoC эксплуатации
  • Уязвимости сторонних клиентов (Xray, Hiddify, Mihomo, v2rayN), сообщайте их разработчикам
  • 404/5xx ошибки, опечатки, проблемы кэширования
  • Спам в формы и контактные поля

Три шага
до выплаты

  1. Отправьте отчёт

    На routesense@icloud.com с темой [Bug Bounty]. Опишите уязвимость, шаги воспроизведения, оцените воздействие. Прикрепите PoC или видео.

  2. Подтверждение и триаж

    Воспроизведём, подтвердим уровень, договоримся о деталях выплаты. На вопросы отвечаем в той же ветке переписки.

  3. Исправление и выплата

    Закрываем уязвимость, переводим вознаграждение. Возможные способы: карта РФ, СБП, USDT.

Безопасная гавань для исследователей

  • Мы не возражаем против добросовестных исследований уязвимостей нашей инфраструктуры и не подаём в суд за тестирование в рамках этой программы.
  • Не нарушайте доступность сервиса и не тестируйте на аккаунтах других пользователей. Используйте свои тестовые аккаунты.
  • Не раскрывайте уязвимость публично до того, как мы её исправим. После фикса мы согласуем с Вами текст и сроки раскрытия.
  • Минимизируйте сбор данных при демонстрации, достаточно показать факт уязвимости.
  • При сомнениях спросите перед тестом: routesense@icloud.com.

Исследователи,
которые помогли

Зал ещё ждёт первого имени

Программа открыта. Первый подтверждённый отчёт попадёт в Зал славы и получит повышенный коэффициент к выплате.

#1
— — —
— — —
#2
— — —
— — —
#3
— — —
— — —
Отправить отчёт

Нашли уязвимость?

Напишите на routesense@icloud.com, рассмотрим в порядке поступления.

Отправить отчёт