ExpressVPNs Bug-Bounty-Programm

ExpressVPN betreibt Tausende von VPN-Servern und erstellt plattformübergreifende VPN-Apps für alle wichtigen Betriebssysteme sowie Router und Browser-Erweiterungen.

ExpressVPN nimmt die Sicherheit seiner Anwendungen und Dienste ernst. Wir bieten seit Jahren ein hauseigenes Bug-Bounty-Programm an und haben Zehntausende von Dollar in die Sicherheitsforschung investiert. Wir legen Wert auf herausragende Technik und sind stets auf der Suche nach Möglichkeiten, die Sicherheit unserer Produkte und Dienste zu verbessern.

Erhalten Sie Belohnungen mit unserem Bug Bounty Programm.

Zielinformationen

Berücksichtigte Übermittlungen

Übermittlungen zu den folgenden Produkten und Diensten werden berücksichtigt:

  • VPN-Server

  • ExpressVPNs iOS-App

  • ExpressVPNs Android-App

  • ExpressVPNs Linux-Anwendung

  • ExpressVPNs macOS-Anwendung

  • ExpressVPNs Windows-Anwendung

  • ExpressVPNs Router-Anwendung

  • ExpressVPNs Firefox-Erweiterung

  • ExpressVPNs Chrome-Erweiterung

  • MediaStreamer DNS-Server

  • ExpressVPN-APIs

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Zusätzlich zu den genannten Produkten und Diensten werden auch Übermittlungen zu Folgendem berücksichtigt:

  • interne Systeme, z. B. Mitarbeiter-E-Mail, interne Chat-Nachrichten, Quellcode-Hosting

  • jede Sicherheitslücke, die die Privatsphäre unserer Mitarbeiter gefährdet

Schwerpunkt

Für uns interessant sind vor allem:

  • Schwachstellen in unseren Kundenanwendungen, insbesondere Schwachstellen, die zu einer Rechteausweitung führen

  • jegliche Art unberechtigten Zugriffs auf unsere VPN-Server

  • Schwachstellen, die unsere Kundendaten für Unbefugte zugänglich machen

  • Schwachstellen, die unsere VPN-Kommunikation schwächen, unterbrechen oder anderweitig untergraben, sodass der Datenverkehr von Personen, die unsere VPN-Produkte verwenden, offengelegt wird

Darüber hinaus kann jeder öffentlich zugängliche Host, der sich im Besitz von ExpressVPN befindet oder von ExpressVPN betrieben wird fallweise bei den berücksichtigten Übermittlungen mit einbezogen werden.

Alle Besitztümer von ExpessVPN können als berücksichtigt erachtet werden. Bestimmte Testmethoden sind jedoch ausgeschlossen. Insbesondere wird die Berücksichtigung von Tests, die die Servicequalität verschlechtern, z. B. DoS oder Spam, nicht in Betracht gezogen.

Öffentlich verfügbare Beta-Versionen unserer Anwendungen werden ebenfalls berücksichtigt. Sie finden diese auf unserer Seite für Beta-Tester.

Nicht berücksichtigte Übermittlungen

  • Alpha- und Beta-Versionen unserer Anwendungen

  • Social-Engineering (z. B. Phishing)

  • Physische Sicherheit unserer Büros, Server und Mitarbeiter

  • Software von Drittanbietern (außer in Fällen, in denen eine ausnutzbare Schwachstelle aufgrund einer Fehlkonfiguration besteht oder Patch-Level)

Schutz vor Strafverfolgung

Wir bieten umfassenden Schutz vor Strafverfolgung nach den core-terms-GLOBAL von disclose.io.

Sicherheit ist der Kern unserer Werte und wir schätzen den Beitrag von Hackern, die in gutem Glauben handeln, um uns dabei zu helfen, einen hohen Standard für die Sicherheit und den Datenschutz unserer Benutzer aufrechtzuerhalten. Dazu gehört auch die Förderung einer verantwortungsbewussten Erforschung und Offenlegung von Schwachstellen. Diese Richtlinie legt unsere Definition von gutgläubigem Handeln im Zusammenhang mit dem Entdecken und Melden von Schwachstellen dar und erläutert, was Sie als Gegenleistung von uns erwarten können.

Erwartungen

Wenn Sie dieser Richtlinie entsprechend mit uns arbeiten, können Sie davon ausgehen, dass:

  • wir Ihnen Schutz vor Strafverfolgung für Ihre Schwachstellenforschung gewähren, die im Zusammenhang mit dieser Richtlinie steht

  • wir mit Ihnen zusammenarbeiten, um Ihren Bericht zu verstehen und zu validieren, einschließlich einer rechtzeitigen ersten Reaktion auf die Einreichung

  • wir daran arbeiten, entdeckte Schwachstellen rechtzeitig zu beheben

  • wir Ihren Beitrag zur Verbesserung unserer Sicherheit anerkennen, wenn es sich um den ersten Bericht einer einzigartigen Sicherheitslücke handelt und Ihr Bericht eine Änderung im Code oder in der Konfiguration auslöst

Grundlegende Regeln

Um die Erforschung von Sicherheitslücken zu fördern und um jede Verwechslung zwischen gutgläubigem Hacking und böswilligen Angriffen zu vermeiden, bitten wir Sie um Folgendes.

  • Halten Sie sich an die Regeln. Dazu gehört die Befolgung dieser Richtlinie sowie aller anderen relevanten Vereinbarungen. Bei Widersprüchen zwischen dieser Richtlinie und anderen relevanten Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang.

  • Melden Sie jede von Ihnen entdeckte Schwachstelle umgehend.

  • Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu vernichten und/oder die Benutzererfahrung zu beeinträchtigen.

  • Verwenden Sie nur offizielle Kanäle, um Informationen zu Schwachstellen mit uns zu besprechen.

  • Behandeln Sie die Details zu allen entdeckten Schwachstellen vertraulich, bis diese gemäß der Offenlegungsrichtlinie behoben sind.

  • Führen Sie nur Tests an Systemen durch, die sich innerhalb der von uns berücksichtigten Übermittlungen befinden und achten Sie Systeme und Aktivitäten, die nicht unter die berücksichtigten Übermittlungen fallen.

  • Wenn eine Schwachstelle unbeabsichtigten Zugang zu Daten bietet:

    • beschränken Sie die Menge der Daten, auf die Sie Zugriff haben, auf das für die aussagekräftige Darlegung eines Wirksamkeitsnachweises erforderliche Minimum

    • stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein, sollten Sie während der Tests auf Benutzerdaten stoßen, wie z. B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsdaten (PHI), Kreditkartendaten oder geschützte Informationen

  • Für Ihre Tests sollten Sie nur mit Konten interagieren, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung des Kontoinhabers haben.

  • Lassen Sie sich nicht auf Erpressung ein.

Vereinbarung zum Schutz vor Strafverfolgung

Wird die Forschung nach Sicherheitslücken gemäß dieser Richtlinie durchgeführt, erachten wir die im Rahmen dieser Richtlinie durchgeführte Forschung als:

  • im Hinblick auf geltende Anti-Hacking-Gesetze genehmigt und wir werden gegen Sie keine rechtlichen Schritte aufgrund versehentlicher, in gutem Glauben begangener Verstöße gegen diese Richtlinie einleiten oder unterstützen

  • im Hinblick auf einschlägige Anti-Umgehungsgesetze genehmigt und wir werden gegen Sie keine Klage wegen Umgehung von Technologiekontrollen einleiten oder unterstützen

  • von Beschränkungen in unserer Acceptable Usage Policy befreit, die die Durchführung von Sicherheitsforschung behindern würden, und wir verzichten auf diese Beschränkungen in einem gewissen Umfang

  • rechtmäßig, hilfreich für die allgemeine Netzsicherheit und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie sich an alle geltenden Gesetze halten. Wenn eine Drittpartei rechtliche Schritte gegen Sie einleitet und Sie sich an diese Richtlinie gehalten haben, werden wir Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie mit Ihren Nachforschungen fortfahren.

Einmalige Prämie in Höhe von 100.000 US-Dollar

Wir haben unsere VPN-Server so konzipiert, dass sie durch ein System namens TrustedServer sicher und robust sind, was die Sicherheitslage unserer Server erheblich verbessert. Wir sind von unserer Arbeit in diesem Bereich überzeugt und wollen sicherstellen, dass unsere VPN-Server unsere Sicherheitsanforderungen erfüllen.

Daher bitten wir unsere Prüfer, sich bei ihren Tests auf die folgenden Arten von Sicherheitsproblemen bei unseren VPN-Servern zu konzentrieren:

  • unbefugter Zugriff auf einen VPN-Server oder Ausführung von Code aus der Ferne

  • Schwachstellen in unseren VPN-Servern, durch die die wahren IP-Adressen von Kunden bekannt werden oder der Datenverkehr unserer Nutzer überwacht werden kann

Damit Sie sich für diese Prämie qualifizieren können, benötigen wir von Ihnen einen Nachweis über die Beeinträchtigung der Privatsphäre unserer Nutzer. Das heißt, einen Beleg eines nicht autorisierten Zugriffs, der Ausführung von Code aus der Ferne, der Preisgabe von IP-Adressen oder der Möglichkeit, unverschlüsselten (nicht VPN-verschlüsselten) Datenverkehr der Nutzer einzusehen.

Um diese Herausforderung noch verlockender zu machen, bieten wir jetzt die folgende Prämie: Die erste Person, die eine tatsächlich bestehende Sicherheitslücke meldet, erhält eine zusätzliche Prämie über 100.000 US-Dollar. Diese Präme ist verfügbar, bis sie von der ersten Person in Anspruch genommen wird.

Umfang

Wir verwenden TrustedServer als Plattform für alle Protokolle, die wir unseren Nutzern anbieten, sodass alle unsere VPN-Server in den Anwendungsbereich fallen.

Bitte stellen Sie sicher, dass Sie sich auf den Umfang des Programms konzentrieren. Beispielsweise sind Admin-Panels für die von uns genutzten Rechenzentrumsdienste außerhalb des Geltungsbereichs, da sie nicht im Besitz von ExpressVPN sind und nicht von uns gehostet und betrieben werden. Wenn Sie sich nicht sicher sind, ob Ihre Tests in den Geltungsbereich fallen, wenden Sie sich bitte zunächst an support@bugcrowd.com, um dies zu bestätigen. Ein Prüfer, der außerhalb des Geltungsbereichs testet, hat keinen Anspruch auf eine Belohnung, und wir behalten uns das Recht vor, die Person sofort vom Programm auszuschließen.

Ausnahmen

Wir bemühen uns, sicherzustellen, dass bei unseren Wettbewerben gleiche Bedingungen für alle gelten. Daher sind die folgenden Personen nicht berechtigt, die Prämie für den ersten Fund einer kritischen Sicherheitslücke zu beanspruchen:

  • Vollzeit- oder Teilzeitmitarbeiter von ExpressVPN oder einer anderen Tochtergesellschaft von Kape Technologies sowie deren Freunde und Familienangehörige; und

  • Auftragnehmer, Berater, Vertreter, Lieferanten, Verkäufer oder andere Personen, die mit ExpressVPN in Verbindung stehen oder anderweitig mit ExpressVPN verbunden sind.

Wie Sie einen Bericht einreichen

Sicherheitsexperten sollten ihre Berichte über Bugcrowd einreichen. Alternativ nehmen wir auch per E-Mail an security@expressvpn.com zugesendete Berichte an.

Bitte beachten Sie: ExpressVPN verwendet Bugcrowd zur Verwaltung aller Bug-Bounty-Programme. Reichen Sie einen Bericht per E-Mail ein, heißt das, dass wir Ihre E-Mail-Adresse weitergeben und Inhalte für Sichtungszwecke mit Bugcrowd teilen, auch wenn Sie kein Mitglied der Plattform sind.

Entdecken Sie, wer im Rahmen unseres Bug-Bounty-Programms belohnt wurde.