Get 30 days free when you sign up now.

ExpressVPN 버그 바운티 프로그램

ExpressVPN은 수천 개의 VPN 서버를 운영하며 라우터와 브라우저 확장 프로그램과 같은 모든 주요 운영 체제에서 사용 가능한 크로스 플랫폼 VPN 애플리케이션을 만듭니다.

ExpressVPN은 당사의 애플리케이션과 서비스의 보안을 매우 중요하게 생각합니다. 당사는 수년 간 내부 버그 바운트 프로그램을 운영해왔으며 지금까지 보안 전문가들에게 수만 달러의 포상금을 지급했습니다. 당사는 훌륭한 엔지니어링을 가치있게 생각하며 항상 당사의 제품과 서비스의 보안을 향상시킬 수 있는 방법을 모색하고 있습니다.

해충과 돋보기

표적 정보

적용 범위

적용 범위 내 제품과 서비스는 다음과 같습니다:

  • VPN 서버

  • ExpressVPN iOS 애플리케이션

  • ExpressVPN Android 애플리케이션

  • ExpressVPN Linux 애플리케이션

  • ExpressVPN macOS 애플리케이션

  • ExpressVPN Windows 애플리케이션

  • ExpressVPN 라우터 애플리케이션

  • ExpressVPN Firefox 확장 프로그램

  • ExpressVPN Chrome 확장 프로그램

  • MediaStreamer DNS 서버

  • ExpressVPN API

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

또한 아래에 나열된 자산도 적용 범위에 속합니다:

  • 내부 시스템, 예: 직원 이메일, 내부 채팅 메시지, 소스 코드 호스팅,

  • 당사 직원의 개인 정보를 손상시키는 모든 취약점.

포커스

당사는 다음 사항에 특히 관심이 있습니다:

  • 클라이언트 애플리케이션 내 취약점, 특히 권한 상승을 이끄는 취약점,

  • 당사의 VPN 서버에 대한 모든 종류의 승인되지 않은 액세스,

  • 승인되지 않은 자에게 당사 고객의 데이터를 노출시키는 취약점,

  • 당사의 VPN 제품을 사용하는 누군가의 트래픽을 노출시키는 방법으로 당사의 VPN 통신을 약하게 하거나, 망가뜨리거나, 파괴하는 취약점.

또한, 위에 나열되지 않은 ExpressVPN이 소유하거나 운영하는 공개적으로 액세스 가능한 모든 호스트도 사례에 따라 적용 범위에 속하는 것으로 고려될 수 있습니다. 그러나 특정 테스트 방법론은 제외됩니다. 특히 서비스 품질을 저하시키는 테스트(예: DoS 또는 스팸)는 적용 범위에 속하는 것으로 고려되지 않습니다.

적용 외 범위

  • 당사 애플리케이션의 알파 및 베타 버전

  • 소셜 엔지니어링(예: 피싱)

  • 당사 사무실, 서버 및 직원의 물리적 보안

  • 제3자 소프트웨어(첩포 수준 또는 잘못된 구성으로 인한 개발 가능한 취약점이 있는 경우 제외)

세이프 하버

당사는 disclose.iocore-terms-GLOBAL에 따라 세이프 하버를 제공합니다.

보안은 당사가 가치있게 생각하는 것의 핵심이며, 당사가 계속해서 당사의 사용자에게 고품질의 보안 및 개인 정보 보호를 제공할 수 있도록 도움을 주기 위해 선의있게 행동하는 해커의 개입을 가치있게 생각합니다. 여기에는 원인이 되는 취약점 조사 및 공개를 장려하는 것이 포함됩니다. 이 정책은 취약점 찾기 및 보고의 측면에서의 선의를 정의하며 그에 대한 보상으로 당사에게 기대할 수 있는 것을 설명합니다.

기대

이 정책에 따라 당사와 협력할 때 귀하는 당사로부터:

  • 이 정책에 관련된 취약점 조에 대한 세이프 하버 확장을 기대할 수 있습니다;

  • 적시에 해당 제출에 대한 초기 답변을 하는 것을 포함하여 귀하의 보고서를 이해 및 승인하기 위한 협업을 기대할 수 있습니다;

  • 발견된 취약점을 적시에 해결하기 위한 노력을 기대할 수 있습니다; 그리고

  • 고유한 취약점을 처음 보고했으며 해당 보고서로 인해 코드 또는 구성의 변경이 생길 경우, 당사의 보안 향상에 대한 귀하의 기여 인정을 기대할 수 있습니다.

기본 규칙

취약점 조사를 장려하고 선의의 해킹과 악성 공격 간의 혼동을 피하기 위해 당사는 귀하에게 다음을 요청합니다.

  • 규칙에 따를 것. 여기에는 이 정책 및 모든 기타 관련 계약을 따르는 것이 포함됩니다. 이 정책과 다른 관련 약관 간의 불일치가 있는 경우, 이 정책의 약관이 우선시됩니다.

  • 발견한 취약점을 즉시 보고할 것.

  • 타인의 프라이버시를 침해하거나 당사의 시스템을 방해하거나 데이터를 파괴하거나 사용자 경험을 해치지 말 것.

  • 당사와 취약점 정보를 논의하기 위해 공식 채널만 이용할 것.

  • 발견된 취약점이 공개 정책에 따라 수정될 때까지 그 세부 정보를 기밀로 유지할 것.

  • 적용 범위 시스템 내에서만 테스트를 수행하고 적용 범위를 벗어난 시스템과 활동을 존중할 것.

  • 취약점이 데이터에 대한 의도하지 않은 액세스를 제공하는 경우:

    • 개념 증명을 효과적으로 시연하는 데 필요한 최소 데이터 양으로 데이터 양을 제한할 것; 그리고

    • 개인 식별 정보(PII), 개인 건강 관리 정보(PHI), 신용 카드 정보 또는 독점적 정보와 같은 사용자 데이터를 발견할 경우 테스트를 중단하고 즉시 보고서를 제출할 것;

  • 본인 소유의 계정 또는 계정 소유자의 명시적인 허가를 받은 계정으로만 테스트할 것.

  • 취에 가담하지 말 것.

세이프 하버 계약

이 정책에 따라 취약성 조사를 시행할 때, 당사는 이 조사가 다음을 위해 이 정책 하에 시행되었다고 여깁니다:

  • 적용 가능한 모든 해킹 방지법의 관점에서 승인을 얻기 위해, 당사는 우발적이나 선의로 이 정책을 위반하는 경우 귀하에 대한 법률 소송을 시작하지 않을 것입니다.

  • 관련 우회 방지법의 관점에서 승인을 얻기 위해, 당사는 기술 통제의 우회에 대해 귀하에 대해 소송을 제기하지 않을 것입니다;

  • 보안 조사 수행을 방해할 수 있는 당사의 이용 정책의 제한에서 면제되기 위해, 당사는 제한적으로 이러한 제한을 면제합니다; 그리고

  • 합법적이고 인터넷의 전반적 보안에 도움이 되며 선의로 시행되기 위해.

항상 적용 가능한 모든 법률을 준수해야 합니다. 제3자가 귀하에 대해 법률 소송을 제기하는 경우, 당사는 귀하의 활동이 이 정책을 준수하여 시행되었음을 알리기 위한 조치를 취할 것입니다. 귀하의 보안 조사가 이 정책과 일치하는지의 여부가 확실하지 않거나 우려되는 경우, 더 진행하기 전에 당사의 공식 채널 중 하나를 통해 보고서를 제출하시기 바랍니다.

보고서 제출 방법

리서처는 Bugcrowd를 통해 보고서를 제출할 수 있습니다. 아니면, security@expressvpn.com으로 이메일을 통해 제출할 수도 있습니다.

알려드립니다: ExpressVPN은 모든 버그 바운티 프로그램을 관리하기 위해 Bugcrowd를 사용합니다. 이메일을 통해 보고서를 제출하면 귀하께서 Bugcrowd 회원이 아니시더라도 귀의 이메일 주소와 콘텐츠를 분류의 목적으로 Bugcrowd와 공유하게 됩니다.

당사의 버그 바운티 프로그램에서 누가 포상금을 받았는지 확인하세요.