Get 30 days free when you sign up now.

ExpressVPNのバグバウンティプログラム

ExpressVPNは何千ものVPNサーバーを運営し、ルーターやブラウザ拡張機能だけでなく、すべての主要なオペレーティングシステム用のクロスプラットフォームVPNアプリケーションを作成しています。

ExpressVPNはアプリケーションとサービスのセキュリティを真剣に考えています。弊社は何年にもわたって社内のバグバウンティプログラムを提供し、セキュリティ研究者に数万ドルを授与してきました。弊社は優れたエンジニアリングを重視し、製品やサービスのセキュリティを向上させる方法を常に探しています。

バグとそれを写す虫眼鏡。

対象情報

範囲

下記の製品とサービスが対象です。

  • VPNサーバー

  • ExpressVPN iOSアプリケーション

  • ExpressVPN Androidアプリケーション

  • ExpressVPN Linuxアプリケーション

  • ExpressVPN macOSアプリケーション

  • ExpressVPN Windowsアプリケーション

  • ExpressVPN ルーターアプリケーション

  • ExpressVPN Firefoxアプリケーション

  • ExpressVPN Chromeアプリケーション

  • MediaStreamer DNSアプリケーション

  • ExpressVPN APIs

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

上記のアセットに加え、下記も対象です。

  • 社員メール、社内チャットメッセージ、ソースコードホスティングなどの社内システム

  • 社員のプライバシーを侵害する脆弱性

フォーカス

取り分け下記に関心を持っています。

  • 弊社のクライアントアプリケーションにおける脆弱性。特に特権のエスカレーションにつながる脆弱性

  • 種類を問わない弊社VPNサーバーへの不正アクセス

  • お客様のデータを不正人物に晒す脆弱性

  • 弊社のVPN製品ユーザーのトラフィックを公開する方法で、弊社のVPN通信を弱体化させたり、破壊したり、その他の方法で弊社のVPN通信を腐敗する脆弱性

加えて、上記のリストにないExpressVPNによって所有または運営されている一般的にアクセス可能なホストは、ケースバイケースで範囲内と見なされる可能性があります。すべてのExpressVPNプロパティも含まれます。しかし、特定のテスト方法は除外されます。具体的には、DoSやスパムなど、サービスの質を低下させるテストは対象外となります。

範囲外

  • アプリケーションのアルファおよびベータバージョン

  • ソーシャルエンジニアリング(例:フィッシング)

  • オフィス、サーバー、従業員の物理的なセキュリティ

  • 第三者機関のソフトウェア(設定ミスやパッチレベルによる脆弱性がある場合を除く )

セーフハーバー

弊社は、disclose.iocore-terms-GLOBALに従って、完全なセーフハーバーを提供しています。

セキュリティは弊社の価値観の核心であり、弊社は、ユーザーのためのセキュリティとプライバシーの高い基準を維持するために、誠実に行動するハッカーの意見を尊重しています。これには、責任ある脆弱性の調査と開示を奨励することも含まれます。このポリシーでは、脆弱性の発見と報告に関する弊社の誠意の定義と、お客様が弊社に何を期待できるかについて説明します。

期待されること

このポリシーに基づいて弊社と協力して作業を行う際には、以下のことを期待することができます。

  • 本ポリシーに関連する脆弱性調査にセーフハーバーを拡大すること

  • 提出された報告書に対するタイムリーな初期対応を含め、報告書を理解し、検証するための協力

  • 発見された脆弱性を適時に修正するための作業

  • 固有の脆弱性を最初に報告していただき、その報告がコードや設定の変更のきっかけとなった場合、弊社のセキュリティ向上への貢献を認めます。

基本的なルール

脆弱性調査を奨励し、善意のハッキングと悪意の攻撃が混同されないよう、以下のようにお願いします。

  • ルールに従ってください。これには、本ポリシーおよびその他の関連する契約に従うことが含まれます。本ポリシーと他の関連する規約との間に矛盾がある場合は、本ポリシーの規約が優先されます。

  • 発見した脆弱性を速やかに報告してください

  • 他人のプライバシーを侵害したり、弊社のシステムを混乱させたり、データを破壊したり、ユーザーエクスペリエンスを損なうようなことは避けてください。

  • 脆弱性に関する情報を弊社と議論するためには、公式チャンネルのみを使用してください。

  • 発見された脆弱性の詳細については、開示方針に従い、修正されるまで秘密にしてください。

  • 範囲内のシステムのみを対象にテストを実施し、範囲外のシステムや活動を尊重してください。

  • 脆弱性によりデータへの意図しないアクセスが発生した場合は、

    • アクセスするデータ量を、概念実証を効果的に実証するために必要な最小限に制限してください。

    • テスト中に個人を特定できる情報(PII)、個人医療情報(PHI)、クレジットカード情報、または専有情報などのユーザーデータに遭遇した場合は、テストを中止し、直ちに報告書を提出してください。

  • ご自身が所有しているテストアカウント、またはアカウント所有者の明示的な許可を得ているテストアカウントとのみやりとりする必要があります。

  • 恐喝行為をしてはいけません。

セーフハーバー契約

本ポリシーに基づいて脆弱性調査を行う場合、弊社は、本ポリシーに基づいて行われる本調査を以下のように考えます。

  • 適用されるハッキング防止法に照らして認可されており、弊社は、本ポリシーの偶発的な善意の違反に対して、ご参加者対して法的措置を開始したり、支援することはありません。

  • 関連する不正行為防止法の観点から承認されており、弊社は、技術管理の不正行為を理由にお客様に対してクレームを提起しません。

  • セキュリティ調査の実施を妨げるような弊社の利用規定の制限は免除されており、弊社は限定的にこれらの制限を放棄しています。

  • 合法的であり、インターネットの全体的なセキュリティに役立ち、誠意を持って行われていること。

調査者には、常に、適用されるすべての法律を遵守することが期待されています。第三者が調査者に対して法的措置を開始した場合、調査者が本ポリシーを遵守していた場合には、弊社は調査者の行動が本ポリシーを遵守して実施されたことを周知させるための措置を講じます。

セキュリティ調査が本ポリシーに準拠しているかどうか、懸念がある場合や不明な点がある場合は、先に進む前に、弊社の公式チャンネルのいずれかを通じて報告書を提出してください。

レポートの提出方法

調査者はBugcrowdを通じてレポートを提出してください。または、security@expressvpn.com宛にメールでの提出も受け付けています。

注意:ExpressVPNはすべてのバグバウンティプログラムを管理するためにBugcrowdを使用しています。メールで送信するということは、たとえあなたがプラットフォームのメンバーでなくても、トリアージの目的であなたのメールアドレスを共有し、Bugcrowdとコンテンツを共有することを意味します。

バグバウンティプログラムで誰が報奨金を受けたかをご確認ください