Ricevi 30 giorni gratis quando ti registri.

Programma di bug bounty di ExpressVPN

ExpressVPN gestisce migliaia di server VPN e realizza applicazioni VPN multipiattaforma per tutti i principali sistemi operativi, nonché router ed estensioni del browser.

ExpressVPN considera seriamente la sicurezza delle sue applicazioni e dei suoi servizi. Abbiamo offerto per anni un programma di bug bounty interno e abbiamo assegnato decine di migliaia di dollari a ricercatori di sicurezza. Apprezziamo l'eccellenza dell'ingegneria e siamo sempre alla ricerca di modi per migliorare la sicurezza dei nostri prodotti e servizi.

Lente di ingrandimento con un insetto sotto.

Informazioni sull'obiettivo

Scopo

I seguenti prodotti e servizi rientrano nell'ambito di applicazione:

  • Server VPN

  • App iOS di ExpressVPN

  • App Android di ExpressVPN

  • App Linux ExpressVPN

  • App macOS di ExpressVPN

  • App Windows di ExpressVPN

  • App router ExpressVPN

  • Estensione per Firefox di ExpressVPN

  • Estensione Chrome di ExpressVPN

  • Server DNS MediaStreamer

  • API ExpressVPN

  • expressvpn.com

  • * .expressvpn.com

  • * .xvservice.net

  • expressobutiolem.onion

  • App Store di Apple (886492891)

  • Google Play (com.expressvpn.vpn)

Oltre alle attività sopra elencate, nell'ambito di applicazione ci sono anche:

  • sistemi interni, ad es. e-mail dei dipendenti, messaggi di chat interna, hosting del codice sorgente

  • qualsiasi vulnerabilità che comprometta la privacy dei nostri dipendenti.

Focus

Siamo particolarmente interessati a:

  • Vulnerabilità nelle nostre applicazioni client, in particolare le vulnerabilità che portano all'escalation dei privilegi

  • Qualsiasi tipo di accesso non autorizzato sui nostri server VPN

  • Vulnerabilità che espongono i dati dei nostri clienti a persone non autorizzate

  • Vulnerabilità che indeboliscono, interrompono o altrimenti sovvertono le nostre comunicazioni VPN in un modo che espone il traffico di chiunque utilizzi i nostri prodotti VPN

Inoltre, qualsiasi host accessibile pubblicamente di proprietà o gestito da ExpressVPN che non è nell'elenco sopra riportato può essere incluso nell'ambito di applicazione in seguito a una verifica caso per caso.

Tutte le proprietà di ExpressVPN possono essere considerate incluse. Tuttavia, alcune metodologie di test sono escluse. In particolare, i test che degradano la qualità del servizio, ad esempio DoS o spam, non saranno presi in considerazione per l'inclusione.

Esclusi dal campo di applicazione

  • Versioni alfa e beta delle nostre applicazioni

  • Ingegneria sociale (ad es. Phishing)

  • Sicurezza fisica dei nostri uffici, server e dipendenti

  • Software di terze parti (tranne nei casi in cui è presente una vulnerabilità sfruttabile a causa di configurazione errata o livello di patch)

Safe harbor

Forniamo un “porto sicuro” (Safe Harbor) secondo i termini essenziali di disclose.io.

La sicurezza è fondamentale secondo i nostri valori e apprezziamo il contributo degli hacker che agiscono in buona fede per aiutarci a mantenere uno standard elevato per la sicurezza e la privacy dei nostri utenti. Ciò include l'incoraggiamento alla ricerca e alla divulgazione responsabile delle vulnerabilità. Questa politica stabilisce la nostra definizione di buona fede nel contesto della ricerca e della segnalazione delle vulnerabilità, nonché cosa ci si può aspettare da noi in cambio.

Aspettative

Lavorando con noi secondo questa politica, ecco cosa potrai aspettarti:

  • Estenderemo il porto sicuro per la ricerca sulla vulnerabilità correlata a questa politica

  • Collaboreremo con te per comprendere e convalidare la tua segnalazione, inclusa una tempestiva risposta iniziale alla presentazione

  • Lavoreremo per porre rimedio in modo tempestivo alle vulnerabilità scoperte; e riconosceremo il tuo contributo al miglioramento della nostra sicurezza se seiil primo a segnalare una vulnerabilità esclusiva e se il tuo report riguarda una modifica del codice o della configurazione.

Regole di base

Per incoraggiare la ricerca sulle vulnerabilità ed evitare qualsiasi confusione tra pirateria informatica in buona fede e attacchi dannosi, ti chiediamo quanto segue.

  • Gioca rispettando le regole. Ciò include il rispetto di questa politica, così come qualsiasi altro accordo pertinente. In caso di incongruenze tra questa politica e altri termini pertinenti, prevarranno i termini di questa politica.

  • Segnala tempestivamente qualsiasi vulnerabilità che hai scoperto

  • Evita di violare la privacy di altri, interrompere i nostri sistemi, distruggere i dati e/o danneggiare l'esperienza dell'utente

  • Utilizza solo canali ufficiali per discutere con noi delle informazioni sulla vulnerabilità

  • Mantieni riservati i dettagli di eventuali vulnerabilità scoperte fino a quando non vengono risolte, secondo la politica di divulgazione

  • Esegui i test solo sui sistemi in ambito e rispetta i sistemi e le attività che non rientrano nell'ambito

  • Se una vulnerabilità fornisce un accesso non intenzionale ai dati:

    • Limita la quantità di dati a cui accedi al minimo richiesto per dimostrare in modo efficace una prova di concetto; e

    • Interrompi il test e invia immediatamente una segnalazione se durante il test riscontri dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie

  • Dovresti interagire solo con gli account di prova che possiedi o con il permesso esplicito del titolare dell'account

  • Non impegnarti in attività di estorsione

Accordo Safe Harbor (porto sicuro)

Nel condurre le ricerche sulla vulnerabilità secondo questa politica, consideriamo che la ricerca condotta in base a questa politica sia:

  • Autorizzata alla luce di eventuali leggi anti-hacking applicabili e non avvieremo né sosterremo azioni legali contro di te per violazioni accidentali e in buona fede di questa politica

  • Autorizzata alla luce delle leggi antielusione pertinenti e non avvieremo un reclamo contro di te per elusione dei controlli tecnologici;

  • Esente da restrizioni incluse nella nostra Politica di utilizzo accettabile che potrebbero interferire con la conduzione di ricerche sulla sicurezza e rinunciamo a tali restrizioni su base limitata

  • Legale, utile per la sicurezza generale di internet e condotta in buona fede.

Siete tenuti, come sempre, a rispettare tutte le leggi applicabili. Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato questa politica, adotteremo misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

Se in qualsiasi momento hai dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questa politica, invia una segnalazione tramite uno dei nostri canali ufficiali prima di proseguire.

Come inviare una segnalazione

I ricercatori dovrebbero inviare i loro rapporti tramite Bugcrowd. In alternativa, accettiamo anche invii tramite e-mail a security@expressvpn.com.

Nota: ExpressVPN utilizza Bugcrowd per gestire tutti i programmi di bug bounty. L'invio tramite e-mail significa che condivideremo il tuo indirizzo e-mail e condivideremo i contenuti con Bugcrowd ai fini del triage, anche se non sei un membro della piattaforma.

Scopri chi è stato premiato nel nostro programma di bug bounty.