Nyt rekisteröitymällä saat 30 päivää ilmaiseksi.

ExpressVPN:n bug bounty -ohjelma

ExpressVPN:n vastuulla on tuhansia VPN-palvelimia ja se luo VPN-sovelluksia eri alustoille ja kaikille suurimmille käyttöjärjestelmille sekä reitittimille että selainlaajennuksia.

ExpressVPN suhtautuu erittäin vakavasti sovellustensa ja palveluidensa turvallisuuteen. Olemme ylläpitäneet omaa haavoittuvuuspalkinto-ohjelmaamme vuosien ajan ja palkinneet turvallisuusasiantuntijoita kymmenillä tuhansilla dollareilla. Arvostamme taitavia teknisiä ratkaisuja ja pyrimme jatkuvasti parantamaan tuotteidemme ja palveluidemme turvallisuutta.

Suurennuslasi, jossa näkyy ötökkä.

Tietoja kohteesta

Kohde

Ohjelman piiriin kuuluvat seuraavat tuotteet ja palvelut:

  • VPN-palvelimet

  • ExpressVPN:n iOS-sovellus

  • ExpressVPN:n Android-sovellus

  • ExpressVPN:n Linux-sovellus

  • ExpressVPN:n macOS-sovellus

  • ExpressVPN:n Windows-sovellus

  • ExpressVPN:n reititinsovellus

  • ExpressVPN:n Firefox-selainlaajennus

  • ExpressVPN:n Chrome-selainlaajennus

  • MediaStreamerin DNS-palvelimet

  • ExpressVPN:n APIt

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Ylläolevien lisäksi kohteena ovat myös:

  • sisäiset järjestelmät, esimerkiksi työntekijöiden sähköpostit, sisäiset viestit ja lähdekoodin säilytys,

  • kaikki haavoittuvuudet, jotka liittyvät työntekijöidemme yksityisyyteen.

Painopiste

Olemme erityisen kiinnostuneita:

  • haavoittuvuksista asiakkaille tarkoitetuissa sovelluksissa, erityisesti haavoittuvuuksista jotka johtavat eskalaatiohyökkäyksiin,

  • kaikista mahdollisista luvattomista pääsyistä VPN-palvelimillemme,

  • haavoittuvuuksista, jotka paljastavat asiakkaidemme tietoja asiattomille tahoille,

  • haavoittuvuuksista, jotka heikentävät, katkaisevat tai muutoin vaikuttavat VPN-liikenteeseen niin, että kenen tahansa VPN-tuotteitamme käyttävien liikenne paljastuu.

Lisäksi kaikki julkisesti saavutettavissa olevat ExpressVPN:n omistamat tai operoimat internet-laitteet voidaan tapauskohtaisesti sisällyttää ohjelman piiriin.

Kaikkeni ExpressVPN:n ominaisuuksien voidaan katsoa kuuluvan ohjelman piiriin. Tietyt testausmetodit on kuitenkin suljettu ulos. Erityisesti palvelun tasoa häiritseviä metodeja, kuten DoS-hyökkäyksiä tai roskapostia, ei hyväksytä.

Kohteeseen eivät sisälly

  • Sovellustemme alfa- tai beta-versiot

  • Sosiaalinen manipulointi (esim. tietojen kalastelu)

  • Toimistojemme, palvelintemme ja työntekijöidemme fyysinen turvallisuus

  • Kolmannen osapuolen ohjelmistot (paitsi tapauksissa, joissa haavoittuvuutta voidaan käyttää korjaustiedoston virheellisen konfiguroinnin vuoksi)

Safe harbor -turvasatama

Tarjoamme täyden turvasataman disclose.io:n core-terms-GLOBAL-tiedostoa noudattaen.

Turvallisuus on ydinarvomme, ja arvostamme hyvissä tarkoitusperissä toimivien hakkereiden panosta, joka auttaa meitä ylläpitämään käyttäjiemme korkean tason turvallisuutta ja yksityisyyttä. Näissä puitteissa rohkaisemme vastuulliseen haavoittuvuuksien etsimiseen ja niistä ilmoittamiseen. Tässä käytännössä määrittelemme, mitä tarkoitamme hyvissä tarkoitusperissä toimimisella mitä tulee haavoittuvuuksien etsimiseen ja niistä ilmoittamiseen, sekä sen, mitä voit odottaa meiltä vastineeksi työstäsi.

Odotukset

Kun työskentelet kanssamme tätä käytäntöä noudattaen, voit odottaa meiltä seuraavia asioita:

  • turvasatamakäytäntöä sovelletaan haavoittuvuustutkimukseesi, joka tapahtuu tämän käytännön puitteissa;

  • työskentelemme kanssasi, jotta ymmärrämme ja voimme vahvistaa raporttisi, ja vastaamme ilmoitukseesi nopeasti;

  • työskentelemme nopeasti korjataksemme löydetyt haavoittuvuudet; ja

  • tunnustamme panoksesi turvallisuutemme parantamiseen, jos raportoit uniikista haavoittuvuudesta ensimmäisenä, ja raporttisi johtaa muutokseen koodissa tai konfiguraatiossa.

Perussäännöt

Rohkaistaaksemme haavoittuvuustutkimusta ja välttääksemme sekaannuksia hyvissä tarkoitusperissä tehdyn hakkeroinnin ja pahantahtoisten iskujen välillä, pyydämme sinulta seuraavia asioita:

  • Noudata sääntöjä. Tähän sisältyy tämän käytännön noudattaminen sekä muiden olennaisten sopimusten seuraaminen. Jos tämän ja muiden olennaisten sääntöjen välillä on ristiriitoja, tämän käytännön säännöt pätevät.

  • Ilmoita kaikista löytämistäsi haavoittuvuuksista ripeästi.

  • Vältä muiden yksityisyyden loukkaamista, järjestelmiemme häiritsemistä, tiedon tuhoamista ja/tai käyttäjäkokemuksen huonontamista.

  • Käytä ainoastaan virallisia kanavia keskustellaksesi haavoittuvuustiedoista kanssamme.

  • Pidä kaikki löydettyihin haavoittuvuuksiin liittyvät tiedot ilmoituskäytäntöä noudattaen turvassa, kunnes haavoittuvuudet on korjattu.

  • Tee testauksia ainoastaan kohteeksi rajatuissa järjestelmissä, ja kunnioita järjestelmiä ja toimintaa, jotka eivät kuulu kohteeseen.

  • Jos saat haavoittuvuuden vuoksi vahingossa pääsyn tietoihin:

    • rajaa pääsysi minimiin joka vaaditaan, jotta voit osoittaa Konseptitodistuksen; ja

    • keskeytä testaaminen ja lähetä raportti välittömästi, mikäli löydät testauksen aikana käyttäjätietoja, kuten tunnistamisen mahdollisia tietoja, henkilökohtaisia terveystietoja, luottokorttitietoja tai omistusoikeudellisia tietoja;

  • Sinun tulee käyttää vain omistamiasi testitilejä tai tilejä, joiden omistajalta sinulla on selvä suostumus.

  • Älä kiristä.

Turvasatamasopimus

Kun haavoittuvuustutkimusta tehdään tätä käytäntöä noudattaen, pidämme tätä käytännön mukaan tehtyä tutkimusta:

  • sallittuna hakkeroinnin vastaisten lakien puitteissa, emmekä aloita tai tue oikeustoimia sinua vastaan jos käytäntöä ei ole noudatettu vahingossa;

  • sallittuna suojauksen kiertoa koskevien lakien puitteissa; emmekä syytä sinua teknisen suojakusen kiertämisestä;

  • vapautettuna Hyväksytyn käytön käytännössä ilmoitetuista rajoituksista, jotka häiritsisivät turvallisuustutkimusta, ja luovumme rajoituksista rajoitetusti; ja

  • laillisena ja hyvin tarkoitusperin tehtynä ja internetin kokonaisvaltaista turvallisuutta parantavana.

Sinun odotetaan, kuten aina, noudattavan voimassa olevia lakeja. Jos kolmas taho aloittaa oikeustoimenpiteet sinua vastaan, ja olet noudattanut tässä ilmoitettua käytäntöämme, me toimimme niin että tulee tietoon, että toimit tätä käytäntöä noudattaen.

Jos olet jossain tutkimuksen vaiheessa epävarma siitä, noudattaako työskentelysi tätä käytäntöä, lähetäthän meille raportin yhtä virallisista kanavistamme käyttäen ennen kuin jatkat.

Näin lähetät raportin

Tutkijoiden tulee lähettää raporttinsa Bugcrowdia käyttäen. Otamme vastaan myös sähköpostitse osoitteeseen security@expressvpn.com lähetettyjä raportteja.

Huomaa: ExpressVPN käyttää Bugcrowdia bug bounty -ohjelmiensa hallinointiin. Raportin lähettäminen sähköpostilla tarkoittaa sitä, että välitämme sähköpostiosoitteesi ja sisällön Bugcrowdille esitarkistusta varten, vaikka et olisikaan kyseisen alustan jäsen.

Katso, keitä on palkittu bug bounty -ohjelmassamme.