Registrieren Sie sich jetzt und erhalten Sie 30 Tage kostenfrei.

ExpressVPNs Bug-Bounty-Programm

ExpressVPN betreibt Tausende von VPN-Servern und erstellt plattformübergreifende VPN-Apps für alle wichtigen Betriebssysteme sowie Router und Browser-Erweiterungen.

ExpressVPN nimmt die Sicherheit seiner Anwendungen und Dienste ernst. Wir bieten seit Jahren ein hauseigenes Bug-Bounty-Programm an und haben Zehntausende von Dollar in die Sicherheitsforschung investiert. Wir legen Wert auf herausragende Technik und sind stets auf der Suche nach Möglichkeiten, die Sicherheit unserer Produkte und Dienste zu verbessern.

Eine Lupe über einem Käfer (engl. Bug).

Zielinformationen

Berücksichtigte Übermittlungen

Übermittlungen zu den folgenden Produkten und Diensten werden berücksichtigt:

  • VPN-Server

  • ExpressVPNs iOS-App

  • ExpressVPNs Android-App

  • ExpressVPNs Linux-Anwendung

  • ExpressVPNs macOS-Anwendung

  • ExpressVPNs Windows-Anwendung

  • ExpressVPNs Router-Anwendung

  • ExpressVPNs Firefox-Erweiterung

  • ExpressVPNs Chrome-Erweiterung

  • MediaStreamer DNS-Server

  • ExpressVPN-APIs

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Zusätzlich zu den genannten Produkten und Diensten werden auch Übermittlungen zu Folgendem berücksichtigt:

  • interne Systeme, z. B. Mitarbeiter-E-Mail, interne Chat-Nachrichten, Quellcode-Hosting

  • jede Sicherheitslücke, die die Privatsphäre unserer Mitarbeiter gefährdet

Schwerpunkt

Für uns interessant sind vor allem:

  • Schwachstellen in unseren Kundenanwendungen, insbesondere Schwachstellen, die zu einer Rechteausweitung führen

  • jegliche Art unberechtigten Zugriffs auf unsere VPN-Server

  • Schwachstellen, die unsere Kundendaten Unbefugten zugänglich machen

  • Schwachstellen, die unsere VPN-Kommunikation schwächen, unterbrechen oder anderweitig untergraben, so dass der Datenverkehr von Personen, die unsere VPN-Produkte verwenden, offengelegt wird

Darüber hinaus kann jeder öffentlich zugängliche Host, der sich im Besitz von ExpressVPN befindet oder von ExpressVPN betrieben wird fallweise bei den berücksichtigten Übermittlungen mit einbezogen werden.

Alle Besitztümer von ExpessVPN können als berücksichtigt erachtet werden. Bestimmte Testmethoden sind jedoch ausgeschlossen. Insbesondere wird die Berücksichtigung von Tests, die die Servicequalität verschlechtern, z. B. DoS oder Spam, nicht in Betracht gezogen.

Nicht berücksichtigte Übermittlungen

  • Alpha- und Beta-Versionen unserer Anwendungen

  • Social-Engineering (z. B. Phishing)

  • Physische Sicherheit unserer Büros, Server und Mitarbeiter

  • Software von Drittanbietern (außer in Fällen, in denen eine ausnutzbare Schwachstelle aufgrund einer Fehlkonfiguration besteht oder Patch-Level)

Schutz vor Strafverfolgung

Wir bieten umfassenden Schutz vor Strafverfolgung nach den core-terms-GLOBAL von disclose.io.

Sicherheit ist der Kern unserer Werte und wir schätzen den Beitrag von Hackern, die in gutem Glauben handeln, um uns dabei zu helfen, einen hohen Standard für die Sicherheit und den Datenschutz unserer Benutzer aufrechtzuerhalten. Dazu gehört auch die Förderung einer verantwortungsbewussten Erforschung und Offenlegung von Schwachstellen. Diese Richtlinie legt unsere Definition von gutgläubigem Handeln im Zusammenhang mit dem Entdecken und Melden von Schwachstellen dar und erläutert, was Sie als Gegenleistung von uns erwarten können.

Erwartungen

Wenn Sie dieser Richtlinie entsprechend mit uns arbeiten, können Sie davon ausgehen, dass:

  • wir Ihnen Schutz vor Strafverfolgung für Ihre Schwachstellenforschung gewähren, die im Zusammenhang mit dieser Richtlinie steht

  • wir mit Ihnen zusammenarbeiten, um Ihren Bericht zu verstehen und zu validieren, einschließlich einer rechtzeitigen ersten Reaktion auf die Einreichung

  • wir daran arbeiten, entdeckte Schwachstellen rechtzeitig zu beheben

  • wir Ihren Beitrag zur Verbesserung unserer Sicherheit anerkennen, wenn es sich um den ersten Bericht einer einzigartigen Sicherheitslücke handelt und Ihr Bericht eine Änderung im Code oder in der Konfiguration auslöst

Grundlegende Regeln

Um die Erforschung von Sicherheitslücken zu fördern und um jede Verwechslung zwischen gutgläubigem Hacking und böswilligen Angriffen zu vermeiden, bitten wir Sie um Folgendes.

  • Halten Sie sich an die Regeln. Dazu gehört die Befolgung dieser Richtlinie sowie aller anderen relevanten Vereinbarungen. Bei Widersprüchen zwischen dieser Richtlinie und anderen relevanten Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang.

  • Melden Sie jede von Ihnen entdeckte Schwachstelle umgehend.

  • Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu vernichten und/oder die Benutzererfahrung zu beeinträchtigen.

  • Verwenden Sie nur offizielle Kanäle, um Informationen zu Schwachstellen mit uns zu besprechen.

  • Behandeln Sie die Details zu allen entdeckten Schwachstellen vertraulich, bis diese gemäß der Offenlegungsrichtlinie behoben sind.

  • Führen Sie nur Tests an Systemen durch, die sich innerhalb der von uns berücksichtigten Übermittlungen befinden und achten Sie Systeme und Aktivitäten, die nicht unter die berücksichtigten Übermittlungen fallen.

  • Wenn eine Schwachstelle unbeabsichtigten Zugang zu Daten bietet:

    • beschränken Sie die Menge der Daten, auf die Sie Zugriff haben, auf das für die aussagekräftige Darlegung eines Wirksamkeitsnachweises erforderliche Minimum

    • stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein, sollten Sie während der Tests auf Benutzerdaten stoßen, wie z. B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsdaten (PHI), Kreditkartendaten oder geschützte Informationen

  • Für Ihre Tests sollten Sie nur mit Konten interagieren, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung des Kontoinhabers haben.

  • Lassen Sie sich nicht auf Erpressung ein.

Vereinbarung zum Schutz vor Strafverfolgung

Wird die Forschung nach Sicherheitslücken gemäß dieser Richtlinie durchgeführt, erachten wir die im Rahmen dieser Richtlinie durchgeführte Forschung als:

  • im Hinblick auf geltende Anti-Hacking-Gesetze genehmigt und wir werden gegen Sie keine rechtlichen Schritte aufgrund versehentlicher, in gutem Glauben begangener Verstöße gegen diese Richtlinie einleiten oder unterstützen

  • im Hinblick auf einschlägige Anti-Umgehungsgesetze genehmigt und wir werden gegen Sie keine Klage wegen Umgehung von Technologiekontrollen einleiten oder unterstützen

  • von Beschränkungen in unserer Acceptable Usage Policy befreit, die die Durchführung von Sicherheitsforschung behindern würden, und wir verzichten auf diese Beschränkungen in einem gewissen Umfang

  • rechtmäßig, hilfreich für die allgemeine Netzsicherheit und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie sich an alle geltenden Gesetze halten. Wenn eine Drittpartei rechtliche Schritte gegen Sie einleitet und Sie sich an diese Richtlinie gehalten haben, werden wir Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie mit Ihren Nachforschungen fortfahren.

Wie Sie einen Bericht einreichen

Sicherheitsexperten sollten ihre Berichte über Bugcrowd einreichen. Alternativ nehmen wir auch per E-Mail an security@expressvpn.com zugesendete Berichte an.

Bitte beachten Sie: ExpressVPN verwendet Bugcrowd zur Verwaltung aller Bug-Bounty-Programme. Reichen Sie einen Bericht per E-Mail ein, heißt das, dass wir Ihre E-Mail-Adresse weitergeben und Inhalte für Sichtungszwecke mit Bugcrowd teilen, auch wenn Sie kein Mitglied der Plattform sind.

Entdecken Sie, wer im Rahmen unseres Bug-Bounty-Programms belohnt wurde.