Het Bug Bounty programma van ExpressVPN

ExpressVPN werkt met duizenden VPN servers en maakt platformoverschrijdende VPN applicaties voor alle grotere operatiesystemen, routers en browserextensies.

ExpressVPN neemt de veiligheid van zijn applicaties en diensten zeer serieus. We bieden al jaren ons eigen Bug Bounty programma en hebben enkele tienduizenden dollars uitgekeerd aan veiligheidsonderzoekers. We waarderen vooruitstrevende techniek en zijn constant op zoek naar manieren om de veiligheid van onze producten en diensten te verbeteren.

Verdien een beloning met ons bug bounty programma.

Doelinformatie

Toepassingsgebied

De volgende producten en diensten bevinden zich in het toepassingsgebied:

  • VPN servers

  • ExpressVPN iOS applicatie

  • ExpressVPN Android applicatie

  • ExpressVPN Linux applicatie

  • ExpressVPN macOS applicatie

  • ExpressVPN Windows applicatie

  • ExpressVPN router applicatie

  • ExpressVPN Firefox extensie

  • ExpressVPN Chrome extensie

  • MediaStreamer DNS servers

  • ExpressVPN API's

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Naast wat hierboven is genoemd, bevindt het volgende zich ook in het toepassingsgebied:

  • interne systemen, bijv. e-mail van werknemers, interne chatberichten, hosting van broncode;

  • elke kwetsbaarheid die de privacy van onze werknemers ondermijnt.

Focus

We zijn met name geïnteresseerd in:

  • kwetsbaarheden in onze client applicaties, voornamelijk kwetsbaarheden die tot de verhoging van beperkte rechten leiden;

  • elk soort onbevoegde toegang tot onze VPN servers;

  • kwetsbaarheden die onze klantgegevens aan onbevoegde personen blootgeven;

  • kwetsbaarheden die onze VPN communicatie zodanig verzwakken, breken of ondermijnen dat verkeer van iemand die onze VPN gebruikt, zichtbaar wordt.

Daarnaast kan elke openbaar toegankelijke host die in bezit is van of beheerd wordt door ExpressVPN en niet in bovenstaande lijst genoemd wordt, per geval in overweging genomen worden.

Alle eigendommen van ExpressVPN kunnen als hier opgenomen worden beschouwd. Bepaalde test-methodologieën worden echter uitgesloten. Specifiek, testen die de kwaliteit van diensten verminderen, zoals DoS of spam, zullen buiten beschouwing worden gelaten.

Valt buiten toepassingsgebied

  • Alpha- en betaversies van onze applicaties

  • Social engineering (zoals phishing)

  • Fysieke veiligheid van onze kantoren, servers en werknemers

  • Software van derden (behalve in gevallen waarin er een kwetsbaarheid bestaat die kan worden misbruikt door een verkeerde configuratie of patchniveau )

Veilige haven

We bieden een volledig veilige haven volgens de core-terms-GLOBAL van disclose.io.

Veiligheid speelt een centrale rol in onze waarden, en we waarderen de input van ethische hackers om ons te helpen een hoge standaard te behouden voor de veiligheid en privacy van onze gebruikers. Hieronder valt het aanmoedigen van onderzoek en openbaarmaking van verantwoordelijke kwetsbaarheden. Dit beleid definitieert "ethisch" als het zoeken en rapporteren van kwestbaarheden, en ook wat u van ons terug kunt verwachten.

Verwachtingen

Wanneer u met ons samenwerkt volgens dit beleid, kunt u van ons verwachten dat we:

  • de veilige haven uitbreiden voor uw kwetsbaarheidsonderzoek in verband met dit beleid;

  • met u samenwerken om uw rapport te begrijpen en valideren, met een tijdige eerste reactie van de inzending;

  • eraan werken om ontdekte kwetsbaarheden tijdig te verhelpen; en

  • uw bijdrage erkennen aan het verbeteren van onze beveiliging als u de eerste bent die een unieke kwetsbaarheid meldt en uw melding een wijziging van code of configuratie in gang zet.

Basisregels

Om onderzoek naar kwetsbaarheden aan te moedigen en om verwarring tussen ethish hacken en kwaadwillende aanvallen te voorkomen, vragen we het volgende van u.

  • Speel volgens de regels. Dit omvat het volgen van dit beleid, evenals alle andere relevante overeenkomsten. Als er inconsistentie is tussen dit beleid en andere relevante voorwaarden, hebben de voorwaarden van dit beleid voorrang.

  • Meld elke door u ontdekte kwetsbaarheid onmiddellijk.

  • Voorkom het schenden van de privacy van anderen, het verstoren van onze systemen, het vernietigen van gegevens en/of het schaden van de gebruikerservaring.

  • Gebruik alleen officiële kanalen om informatie over kwetsbaarheden met ons te bespreken.

  • Houd de details van ontdekte kwetsbaarheden vertrouwelijk totdat ze zijn opgelost, in overeenstemming met het openbaarmakingsbeleid.

  • Voer alleen tests uit op systemen die binnen het bereik vallen en respecteer systemen en activiteiten die buiten het bereik vallen.

  • Als een kwetsbaarheid onbedoelde toegang tot gegevens biedt:

    • beperk de hoeveelheid gegevens waartoe u toegang hebt tot het minimum dat nodig is om een ​​proof of concept effectief te demonstreren; en

    • stop met testen en dien onmiddellijk een rapport in als u tijdens het testen gebruikersgegevens tegenkomt, zoals persoonlijk identificeerbare informatie (PII), persoonlijke gezondheidsinformatie (PHI), creditcardgegevens of eigendomsinformatie;

  • U mag alleen communiceren met testaccounts waarvan u de eigenaar bent of met uitdrukkelijke toestemming van de accounthouder.

  • Doe niet aan afpersing.

Veilige-havenovereenkomst

Als u in het kader van dit beleid kwestbaarheidsonderzoek uitvoert, beschouwen we dat volgens dit beleid als:

  • geautoriseerd met het oog op toepasselijke anti-hackingwetten, en we zullen geen juridische stappen tegen u starten of ondersteunen wegens onbedoelde ethische schendingen van dit beleid;

  • geautoriseerd met het oog op relevante anti-omzeilingswetten, en we zullen geen claim tegen u indienen voor het omzeilen van technologiecontroles;

  • vrijgesteld van beperkingen in ons beleid voor acceptabel gebruik die het uitvoeren van beveiligingsonderzoek zouden verstoren, en we zien op beperkte basis

    af ​​van deze beperkingen; en

  • rechtmatig, nuttig voor de algehele veiligheid van internet en te goeder trouw uitgevoerd.

Er wordt van u verwacht, zoals altijd, dat u alle toepasselijke wetten naleeft. Als er juridische stappen tegen u worden gestart door een derde partij en u heeft voldaan aan dit beleid, zullen we stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.

Als u ooit bezorgd bent of twijfelt of uw beveiligingsonderzoek in overeenstemming is met dit beleid, dien dan een rapport in via een van onze officiële kanalen voordat u verdergaat.

Eenmalige bonusbeloning van US$ 100.000

Wij hebben onze VPN servers ontworpen om ze veilig en weerbaar te maken door middel van een systeem met de naam TrustedServer, dat de veiligheidspositie van onze servers dramatisch verbetert. Wij hebben veel vertrouwen in ons werk op dit gebied, en stellen ons ten doel om erop te kunnen vertrouwen dat onze VPN servers aan onze veiligheidsverwachtingen voldoen. 

Daarom nodigen wij onze onderzoekers uit om zich te concentreren op het testen van de volgende typen veiligheidsproblemen binnen onze VPN servers:

  • ongeauthoriseerde toegang tot een VPN server of codeverwerking op afstand;

  • kwetsbaarheden in onze VPN server die leiden tot het lekken van het echte IP adres van klanten of tot de mogelijkheid om verkeer van gebruikers te volgen.

Om voor deze beloning in aanmerking te komen, moet u bewijs leveren van de impact op de privacy van onze gebruikers. Dat betekent: het demonstreren van ongeautoriseerde toegang, het verwerken van codes op afstand, het lekken van IP adressen of de mogelijkheid om ongecodeerd (niet-VPN versleuteld) verkeer van gebruikers te volgen.

Om deze uitdaging extra spannend te maken, introduceren wij de volgende bonus: de eerste die een daadwerkelijke kwetsbaarheid aanmeldt, ontvangt een extra bonusprijs van US$ 100.000. Deze bonus blijft beschikbaar totdat de prijs is opgeëist.

Toepassingsgebied

Wij gebruiken TrustedServer als platform voor alle protocollen die wij aan onze gebruikers aanbieden, dus al onze VPN servers vallen onder dit project.  

Let er alstublieft op dat uw activiteiten binnen het toepassingsgebied van dit programma blijven. Voorbeeld: admin panels voor datacenter diensten die wij gebruiken, vallen niet onder de reikwijdte van dit programma want ExpressVPN is niet de eigenaar, host of uitvoerder ervan. Als u twijfelt of uw test onder de voorwaarden valt, neem dan eerst contact op met support@bugcrowd.com om het zeker te weten. Als blijkt dat een onderzoeker heeft getest buiten de reikwijdte van dit programma komt hij niet in aanmerking voor een beloning, en wij houden ons het recht voor om diegene direct uit het programma te verwijderen.

Uitsluitingen

Wij streven ernaar om onze uitdagingen te laten verlopen met eerlijke concurrentie. Daarom komen de volgende personen niet in aanmerking voor het claimen van de bonus voor de eerste belangrijke vondst:

  • full-time of part-time werknemers van ExpressVPN of een willekeurige ander onderdeel van Kape Technologies, evenals hun vrienden of familie;

  • contractanten, consultants, vertegenwoordigers, leveranciers, verkopers of wie dan ook die relaties heeft, of anders verbonden is, met ExpressVPN.

Hoe dient u een rapport in

Onderzoekers dienen hun rapporten in te dienen via Bugcrowd. Daarnaast accepteren we ook inzendingen via een e-mail naar security@expressvpn.com.

NB: ExpressVPN gebruikt Bugcrowd om alle Bug Bounty programma's te beheren. Het indienen via e-mail betekent dat we uw e-mailadres en content delen met Bugcrowd vanwege de triage, zelfs als u geen lid van het platform bent.

Kom erachter wie beloond is in ons Bug Bounty programma.