Obtendrá 30 días gratis si se registra ahora.

El programa de Bug Bounty de ExpressVPN

ExpressVPN opera miles de servidores VPN y crea aplicaciones VPN multiplataforma para los principales sistemas operativos, así como para routers y extensiones de navegador.

ExpressVPN se toma muy en serio la seguridad de sus aplicaciones y servicios. Hemos ofrecido un programa interno de “bug bounty” desde hace años y hemos otorgado decenas de miles de dólares en premios a investigadores de seguridad. Le damos mucho valor a la buena ingeniería y siempre estamos buscando maneras de mejorar la seguridad de nuestros productos y servicios.

Una lupa con un insecto (o "bug").

Información objetivo

Ámbito

Los siguientes productos y servicios caen dentro del ámbito:

  • Servidores de VPN

  • Aplicación de ExpressVPN para iOS Aplicación

  • Aplicación de ExpressVPN para Android

  • Aplicación de ExpressVPN para Linux

  • Aplicación de ExpressVPN para macOS

  • Aplicación de ExpressVPN para Windows

  • Aplicación de ExpressVPN para router

  • Extensión de ExpressVPN para Firefox

  • Extensión de ExpressVPN para Chrome

  • Servidores DNS de MediaStreamer

  • API de ExpressVPN

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Lo siguiente también cae dentro del ámbito:

  • Sistemas internos, por ejemplo correos electrónicos de los empleados, mensajes de chat internos, hosting de código fuente

  • Cualquier vulnerabilidad que ponga en riesgo la privacidad de nuestros empleados

Enfoque

Estamos particularmente interesados en:

  • Vulnerabilidades en nuestras aplicaciones de cara al cliente, especialmente vulnerabilidades que lleven a un incremento de privilegios

  • Cualquier tipo de acceso no autorizado a nuestros servidores de VPN,

  • Vulnerabilidades que expongan los datos de nuestros clientes a personas no autorizadas,

  • Vulnerabilidades que debiliten, rompan o subviertan nuestras comunicaciones de VPN de tal manera que quede expuesto el tráfico de cualquier persona que use nuestros productos de VPN.

Adicionalmente, cualquier host públicamente accesible que sea propiedad o sea operado por ExpressVPN y que no aparezca en la lista anterior podrá considerarse dentro del ámbito en casos específicos. Todas las propiedades de ExpressVPN pueden considerarse incluidas. Sin embargo, ciertos métodos de prueba se excluyen. Específicamente pruebas que degraden la calidad del servicio, como DoS o spam, no se considerarán incluidas.

Fuera del ámbito

  • Versiones Alfa y Beta de nuestras aplicaciones

  • Ingeniería social (por ejemplo, phishing)

  • Seguridad físíca de nuestras oficinas, servidores y empleados

  • Software de terceros (excepto en casos donde exista una vulnerabilidad explotable debido a una mala configuración o nivel de parche)

Puerto seguro

Ofrecemos puerto seguro según los lineamientos de disclose.io core-terms-GLOBAL

La seguridad es uno de nuestros principales valores y apreciamos mucho los aportes de los hackers que actúan de buena fe para ayudarnos a mantener unos altos estándares de seguridad y privacidad para nuestros usuarios. Esto incluye fomentar unas investigaciones y divulgación responsables de vulnerabilidades. Esta política establece nuestra definición de buena fe en el contexto de hallar y reportar vulnerabilidades, así como de lo que se puede esperar de nosotros a cambio.

Expectativas

Al trabajar con nosotros en base a esta política, usted puede esperar que nosotros:

  • Ofrezcamos puerto seguro a su investigación de vulnerabilidad relacionada con esta política

  • Trabajemos con usted para comprender y validar su informe, incluyendo una respuesta inicial oportuna a su envío.

  • Trabajemos para remediar vulnerabilidades descubiertas de manera oportuna, y

  • Otorguemos reconocimiento a su contribución con nuestra seguridad si usted es el primero en reportar una vulnerabilidad única y si reporte genera un cambio en el código o en la configuración

Reglas básicas

Para fomentar las investigaciones de vulnerabilidades y para evitar cualquier confusión entre hackeos de buena fe y ataques malintencionados, le solicitamos lo siguiente.

  • Cumpla con las reglas. Esto incluye seguir lo establecido en esta política, así como cualquier otro acuerdo relevante. Si hubiese cualquier inconsistencia entre esta política y otros términos relevantes, los términos de esta política prevalecerán

  • Reporte cualquier vulnerabilidad que haya descubierto de manera oportuna

  • Evite vulnerar la privacidad de los demás, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario

  • Use solamente los canales oficiales para discutir con nosotros información acerca de las vulnerabilidades

  • Mantenga la confidencialidad de cualesquiera vulnerabilidades que haya descubierto hasta que se hayan reparado, según la política de divulgación

  • Ejecute pruebas solamente en sistemas pertinentes y respete los sistemas y actividades que no sean pertinentes

  • En caso de que una vulnerabilidad le brinde acceso a los datos:

    • Limite la cantidad de datos a los que acceda al mínimo requerido para garantizar la efectividad

    • Cese de realizar pruebas y envíe inmediatamente un informe si encuentra cualquier dato perteneciente a los usuarios durante las pruebas, como información personal identificable (IPI), información personal médica (IPM), información de tarjetas de crédito o información confidencial

  • Solo debe interactuar con las cuentas de prueba que sean de su propiedad o con autorización explícita del propietario

  • No perpetrar extorsión

Acuerdo de puerto seguro

Al realizar estudios de vulnerabilidad según esta política, consideraremos que la investigación realizada bajo esta política estará:

  • Autorizada en vista de cualquier ley anti hackeo aplicable, por lo que no iniciaremos ni apoyaremos acciones legales contra usted por violaciones accidentales y en buena fe de esta política

  • Autorizada en vista de cualquier ley contra evasión, por lo que no entablaremos querellas contra usted por evadir los controles tecnológicos

  • Exenta de restricciones en nuestra Política de Uso Aceptable que interfiera con la realización de las investigaciones de seguridad, y renunciamos a dichas restricciones de manera limitada, y

  • Será legal, en beneficio de la seguridad de internet en general y llevada a cabo de buena fe.

Como siempre, de usted se espera un fiel cumplimiento de todas las leyes aplicables. En caso de que un tercero emprendiese acciones legales contra usted y usted ha cumplido con esta política, tomaremos acciones para hacer saber que sus acciones se realizaron de conformidad con esta política.

Si en cualquier momento le surgen preocupaciones o inquietudes acerca de si su investigación es acorde con esta política, envíe un informe mediante uno de nuestros canales oficiales antes de proseguir.

Cómo enviar un reporte

Los investigadores deben enviar sus informes mediante Bugcrowd. Alternativamente, aceptamos también envíos por correo a security@expressvpn.com.

Tenga en cuenta: ExpressVPN usa Bugcrowd para gestionar todos sus programas de “bug bounty”. Enviar información por correo electrónico implica que compartiremos su dirección de correo electrónico y compartiremos contenidos con Bugcrowd para propósitos de triaje, incluso si usted no es miembro de la plataforma.

Entérese de quién ha sido recompensado en nuestro programa de “bug bounty”.