Bug Bounty programma van ExpressVPN

ExpressVPN opereert duizenden VPN servers en maakt platformoverschrijdende VPN applicaties voor alle grotere operatiesystemen, routers en browserextensies.

ExpressVPN neemt de veiligheid van zijn applicaties en diensten zeer serieus. We bieden al jaren een Bug Bounty programma en hebben veiligheidsonderzoekers met duizenden dollars beloond. We waarderen uitstekend onderzoek en zijn constant op zoek naar manieren om de veiligheid van onze producten en diensten te verbeteren.

Bug bounty

Doelinformatie

Toepassingsgebied

De volgende producten en diensten bevinden zich in het toepassingsgebied:

  • VPN servers

  • ExpressVPN iOS applicatie

  • ExpressVPN Android applicatie

  • ExpressVPN Linux applicatie

  • ExpressVPN macOS applicatie

  • ExpressVPN Windows applicatie

  • ExpressVPN router applicatie

  • ExpressVPN Firefox extensie

  • ExpressVPN Chrome extensie

  • MediaStreamer DNS servers

  • ExpressVPN API's

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Naast de activa hierboven bevinden de volgende zich ook in het toepassingsgebied:

  • interne systemen, bijv. e-mail van werknemers, interne chatberichten, hosting van broncode,

  • elke kwetsbaarheid die de privacy van onze werknemers ondermijnt.

Focus

We zijn met name geïnteresseerd in:

  • kwetsbaarheden in onze client applicaties, voornamelijk kwetsbaarheden die tot de verhoging van beperkte rechten leiden,

  • elk soort onbevoegde toegang tot onze VPN servers,

  • kwetsbaarheden die onze klantendata aan onbevoegde personen blootgeven,

  • kwetsbaarheden die onze VPN communicatie zodanig verzwakken, breken of ondermijnen dat verkeer of ieder die onze VPN gebruikt, ondermijnen.

Daarnaast elke openbaar toegankelijke host die in bezit is, of beheerd wordt door, ExpressVPN die niet in bovenstaande lijst genoemd wordt, kan per geval op toepasbaarheid in overweging genomen worden.

Alle eigendommen van ExpressVPN kunnen als hier opgenomen worden beschouwd. Bepaalde test-methodologieën vallen hier echter niet onder. Specifiek, testen die de kwaliteit van diensten verminderen, zoals DoS of spam, zullen buiten beschouwing worden gelaten.

Valt buiten toepassingsgebied

  • Alpha- en betaversies van onze applicaties

  • Sociale engineering (zoals phishing)

  • Fysieke veiligheid van onze kantoren, servers en werknemers

  • Software van derden (behalve in gevallen waarin er een kwetsbaarheid bestaat die kan worden misbruikt door een verkeerde configuratie of patchniveau )

Veilige haven

We bieden een volledig veilige haven volgens de core-terms-GLOBAL van disclose.io.

Veiligheid speelt een centrale rol in onze waarden, en we waarderen de input van hackers om ons te helpen bij het houden van een hoge standaard voor de veiligheid en privacy van onze gebruikers. Hieronder valt het aanmoedigen van onderzoek en openbaarmaking van verantwoordelijke kwetsbaarheden.

Verwachtingen

Wanneer u met ons samenwerkt volgens dit beleid, kunt u van ons verwachten dat we:

  • een veilige haven uitbreiden voor uw kwetsbaarheidsonderzoek dat verband houdt met dit beleid;

  • met u samenwerken om uw rapport te begrijpen en valideren, met een tijdige eerste reactie van de voorlegging;

  • eraan werken om ontdekte kwetsbaarheden tijdig te verhelpen; en

  • uw bijdrage erkennen van het verbeteren van onze beveiliging als u de eerste bent die een unieke kwetsbaarheid meldt en uw melding een code of configuratiewijziging activeert.

Basisregels

Om onderzoek naar kwetsbaarheden aan te moedigen en om verwarring tussen goedwillende en kwaadwillende aanvallen te voorkomen, vragen we het volgende van u.

  • Speel volgens de regels. Dit omvat het volgen van dit beleid, evenals alle andere relevante overeenkomsten. Als er enige inconsistentie is tussen dit beleid en andere relevante voorwaarden, hebben de voorwaarden van dit beleid voorrang.

  • Meld elke door u ontdekte kwetsbaarheid onmiddellijk.

  • Voorkom het schenden van de privacy van anderen, het verstoren van onze systemen, het vernietigen van gegevens en/of het schaden van de gebruikerservaring.

  • Gebruik alleen officiële kanalen om informatie over kwetsbaarheden met ons te bespreken.

  • Houd de details van ontdekte kwetsbaarheden vertrouwelijk totdat ze zijn opgelost, in overeenstemming met het openbaarmakingsbeleid.

  • Voer alleen tests uit op systemen die binnen het bereik vallen en respecteer systemen en activiteiten die buiten het bereik vallen.

  • Als een kwetsbaarheid onbedoelde toegang tot gegevens biedt:

    • beperk de hoeveelheid gegevens waartoe u toegang hebt tot het minimum dat nodig is om een ​​proof of concept effectief te demonstreren; en

    • beëindig testen en dien onmiddellijk een rapport in als u tijdens het testen gebruikersgegevens tegenkomt, zoals persoonlijk identificeerbare informatie (PII), persoonlijke gezondheidsinformatie (PHI), creditcardgegevens of eigendomsinformatie;

  • U mag alleen communiceren met testaccounts waarvan u de eigenaar bent of met uitdrukkelijke toestemming van de accounthouder.

Veilige havenovereenkomst

Bij het uitvoeren van kwetsbaarheidsonderzoek volgens dit beleid, beschouwen we dit onderzoek onder dit beleid als:

  • geautoriseerd met het oog op toepasselijke anti-hackingwetten, en we zullen geen juridische stappen tegen u starten of ondersteunen wegens onbedoelde, te goeder trouw schendingen van dit beleid;

  • geautoriseerd met het oog op relevante anti-omzeilingswetten, en we zullen geen claim tegen u indienen voor het omzeilen van technologiecontroles;

  • vrijgesteld zijn van beperkingen in ons beleid voor acceptabel gebruik die het uitvoeren van beveiligingsonderzoek zouden verstoren, en we zien af ​​van deze beperkingen op beperkte basis; en

  • rechtmatig, nuttig voor de algehele veiligheid van internet en te goeder trouw uitgevoerd.

Er wordt van u verwacht, zoals altijd, dat u alle toepasselijke wetten naleeft. Als er juridische stappen tegen u worden gestart door een derde partij en u heeft voldaan aan dit beleid, zullen we stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.

Als u zich op enig moment zorgen maakt of niet zeker weet of uw beveiligingsonderzoek in overeenstemming is met dit beleid, dient u een rapport in via een van onze officiële kanalen voordat u verdergaat.

Hoe dient u een rapport in

Onderzoekers dienen hun rapporten in te dienen middels Bugcrowd. Daarnaast accepteren we ook inzendingen via e-mail naar security@expressvpn.com.

NB: ExpressVPN gebruikt Bugcrowd om alle Bug Bounty programma's te beheren. Het indienen via e-mail betekent dat we uw e-mailadres en content delen met Bugcrowd met als doeleind triage, zelfs als u geen lid van het platform bent.

Kom erachter wie beloond is in ons bug ontdekkingsprogramma.