By hackers, for hackers Door hackers, voor hackers

You find the crack. Jij vindt de scheur.
We keep it going. Wij houden het tempo erin.

The internet is held together by duct tape, reverse shells, and people like you. Don't waste your skills arguing with a helpdesk. Triagio connects your PoC directly to the infrastructure that needs patching. Het internet hangt aan elkaar van duct tape, reverse shells en mensen zoals jij. Verspil je skills niet aan discussies met een helpdesk. Triagio verbindt jouw PoC direct met de infrastructuur die gepatcht moet worden.

Stamp Stamp

SAFE HARBOR

follow the rules → you’re covered volg de regels → je zit goed

The Manifesto The Manifest

Most researchers have a war story: a valid finding dismissed as a false positive, a helpdesk that can’t spell "XSS", or a report that disappears into a black hole. De meeste onderzoekers hebben een war story: een geldige finding die wordt weggezet als false positive, een helpdesk die "XSS" niet kan spellen, of een rapport dat verdwijnt in een zwart gat.

Triagio sits between you and the organization. You report to us. We validate the issue, cut through the noise, and push it to the MSPs and engineers who can actually fix it. Triagio zit tussen jou en de organisatie. Jij meldt bij ons. Wij valideren de issue, filteren de ruis, en zetten het door naar de MSPs en engineers die het daadwerkelijk kunnen fixen.

Who is the Triagio team? Wie is het Triagio team?

We’re bug hunters and pentesters ourselves. We know the grind: finding something real, writing a solid PoC, and then getting stuck in VDP/CVD ping-pong with a random helpdesk or an overloaded security inbox. Wij zijn zelf bug hunters en pentesters. We kennen de grind: iets echts vinden, een strakke PoC schrijven, en daarna vastlopen in VDP/CVD ping-pong met een willekeurige helpdesk of een overvolle security inbox.

Triagio exists to remove that friction. We speak both languages: researcher and operations. We translate your finding into an actionable fix, route it to the right MSPs/engineers, and keep the process moving. Triagio bestaat om die frictie weg te nemen. We spreken beide talen: researcher en operations. We vertalen jouw finding naar een actionable fix, zetten het uit bij de juiste MSPs/engineers en houden het proces in beweging.

Our 5 Core Promises Onze 5 Kernbeloftes

Safe Harbor

Follow the program rules and we won’t threaten you, sue you, or play “unauthorized access” games. We advocate for you with the end-client. We treat you like an ally. Volg de programmaregels en we gaan je niet bedreigen, aanklagen of spelletjes spelen met “unauthorized access”. Wij verdedigen jou richting de eindklant. We zien je als bondgenoot.

Professional Triage Professionele Triage

No automated brush-offs. Your report is reviewed by Triagio security analysts who understand impact (RCE, auth bypass, data exposure). Geen automatische afpoeier-reacties. Jouw report wordt beoordeeld door Triagio security analysts die impact snappen (RCE, auth bypass, data exposure).

Zero Ghosting Geen Ghosting

You’ll get status updates. If we reject a report, we’ll tell you why. If it’s a false positive, you’ll get a technical explanation, not a template. Je krijgt statusupdates. Als we een report afwijzen, vertellen we je waarom. Als het een false positive is, krijg je een technische uitleg, niet een template.

Impact, not Noise Impact, geen ruis

We make sure your finding reaches the people who can fix it. We filter duplicates and noise so real bugs get real attention. We zorgen dat jouw finding bij de mensen komt die het kunnen fixen. We filteren duplicates en ruis zodat echte bugs echte aandacht krijgen.

Recognition (Hall of Fame) Erkenning (Hall of Fame)

Valid reports earn you recognition. You get points and a spot on our Hall of Fame. Credit goes to the researcher, always. Geldige reports leveren je erkenning op. Je krijgt punten en een plek in onze Hall of Fame. Credit gaat naar de researcher, altijd.

Rules of engagement Rules of engagement

Keep it safe, keep it clean. If you want safe harbor, we need responsible behavior. Houd het veilig, houd het netjes. Als je safe harbor wil, verwachten we responsible gedrag.

Don’t destroy or alter data. Proof is enough. Stop when you have it. Vernietig of wijzig geen data. Bewijs is genoeg. Stop zodra je het hebt.
No DoS/DDoS, no stress testing, no resource exhaustion. Geen DoS/DDoS, geen stress testing, geen resource exhaustion.
Don’t pivot to internal networks, third parties, or other tenants outside scope. Niet pivotten naar interne netwerken, derden of andere tenants buiten scope.
Keep reports private until a fix is verified (CVD). Houd reports privé tot een fix is geverifieerd (CVD).
Give us reasonable time to triage and coordinate a fix. Critical issues: flag them clearly. Geef ons redelijke tijd voor triage en coördinatie van een fix. Kritieke issues: label ze duidelijk.

No "Beg Bounties" Geen "Beg Bounties"

We know the difference between a vulnerability and a best-practice configuration. Submitting missing SPF/DMARC records on non-email domains, generic error pages, or missing security headers without a PoC and demanding payment is considered spam. Wij kennen het verschil tussen een kwetsbaarheid en een best-practice configuratie. Het indienen van ontbrekende SPF/DMARC records op niet-email domeinen, generieke foutpagina's of missende headers zonder PoC terwijl je geld eist, beschouwen wij als spam.

Result: Immediate closure (N/A) and a potential ban. Resultaat: Directe sluiting (N/A) en een mogelijke ban.

Extortion = Legal Action Afpersing = Aangifte

Safe Harbor applies only to ethical research. Threatening to leak data, sell data to third parties, or publicly shame a client if a bounty is not paid is not research, it is extortion. Safe Harbor geldt alleen voor ethisch onderzoek. Dreigen met het lekken van data, doorverkopen aan derden of "shaming" als er niet betaald wordt, is geen onderzoek, dat is afpersing.

Result: Immediate void of Safe Harbor and reporting to authorities. Resultaat: Direct verval van Safe Harbor en aangifte bij autoriteiten.

Join the Inner Circle Join the Inner Circle

We are building a community of serious researchers. Join our Discord to discuss vectors, talk directly to our Triage team, and get updates on new programs. We bouwen aan een community van serieuze onderzoekers. Kom bij onze Discord om vectoren te bespreken, direct met ons Triage-team te praten en updates te krijgen over nieuwe programma's.

Is this a Bug Bounty program? Is dit een Bug Bounty programma? Primarily: No. We focus on Coordinated Vulnerability Disclosure (CVD). The reward is the Hall of Fame, recognition, and helping the internet stay safe. Occasionally, Triagio might reward exceptional findings with swag or a surprise bounty, but don't count on it as a paycheck. In de basis: Nee. We richten ons op Coordinated Vulnerability Disclosure (CVD). De beloning is de Hall of Fame, erkenning en een veiliger internet. Heel soms beloont Triagio uitzonderlijke vondsten met swag of een verrassings-bounty, maar reken er niet op als salaris.

Join Discord Server Join Discord Server

await triagio.connect({
  user: "hacker_01",
  community: true,
  swag: "unlocked"
});

// Connected to server...
// Triage team is online.

You find the crack. Jij vindt de scheur. We keep it going. Wij houden het tempo erin.