ExpressVPNs bug bounty-program

ExpressVPN drifter tusenvis av VPN-servere og lager VPN-apper på tvers av plattformer for alle store operativsystemer samt rutere og nettleserutvidelser.

ExpressVPN tar sikkerheten til sine programmer og tjenester på alvor. Vi har tilbudt et internt bug bounty-program i årevis, og har belønnet sikkerhetsforskere med titusenvis av dollar. Vi ser verdien av utmerket programmering og er alltid på utkikk etter nye måter å forbedre sikkerheten til våre produkter og tjenester.

Bug bounty

Målinformasjon

Omfang

Programmet omfatter følgende produkter og tjenester:

  • VPN-servere

  • ExpressVPNs iOS-app

  • ExpressVPNs Android-app

  • ExpressVPNs Linux-app

  • ExpressVPNs macOS-app

  • ExpressVPNs Windows-app

  • ExpressVPNs ruter-app

  • ExpressVPNs Firefox-utvidelse

  • ExpressVPNs Chrome-utvidelse

  • MediaStreamer DNS-servere

  • ExpressVPNs APIer

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Foruten listen ovenfor, er disse ressursene også inkludert i programmet:

  • interne systemer, f.eks. ansattes e-post, interne chat-meldinger, drift av kildekode,

  • ethvert sikkerhetsproblem som kompromitterer personvernet til våre ansatte.

Fokus

Vi er spesielt interessert i:

  • sårbarheter i våre klientprogrammer, spesielt sikkerhetsproblemer som fører til eskalering av rettigheter,

  • enhver type uautorisert tilgang til våre VPN-servere,

  • sikkerhetsproblemer som viser våre kundedata til uautoriserte personer,

  • sårbarheter som reduserer, bryter eller på annen måte undergraver vår VPN-kommunikasjon på en måte som eksponerer trafikken til personer som bruker våre VPN-produkter.

Enhver offentlig tilgjengelig vert som eies eller driftes av ExpressVPN som ikke er på listen over, kan betraktes som innenfor omfanget i hvert enkelt tilfelle.

Alle ExpressVPN-eiendeler kan betraktes som innenfor omfanget. Enkelte testmetodologier er imidlertid ekskludert. Mer spesifikt vil tester som reduserer kvaliteten på tjenesten, f.eks. DoS eller spam, ikke bli tatt med.

Utenfor omfang

  • Alfa- og betaversjoner av våre programmer

  • Sosial manipulering (f.eks. phishing)

  • Den fysiske sikkerheten til våre kontorer, servere og ansatte

  • Programvarer fra tredjepart (med unntak av tilfeller der det er en utnyttbar sårbarhet grunnet feilkonfigurasjon eller oppdateringsnivå)

Safe harbor

Vi gir full safe harbor i henhold til disclose.io sine core-terms-GLOBAL.

Sikkerhet er kjernen i våre verdier, og vi verdsetter tilbakemeldingene fra hackere som handler i god tro for å hjelpe oss med å opprettholde en høy standard for sikkerhet og personvern for våre brukere. Dette inkluderer å oppfordre til ansvarlig sårbarhetsforskning og rapportering. Denne policyen beskriver vår definisjon av god tro i forbindelse med å finne og rapportere sikkerhetsproblemer samt hva du kan forvente av oss i retur.

Forventninger

Når du samarbeider med oss i henhold til denne policyen, kan du forvente at vi:

  • gir safe harbor for din sårbarhetsforskning som er relatert til denne policyen;

  • samarbeider med deg for å forstå og validere rapporten din, herunder første svar til innsendingen innen rimelig tid;

  • jobber for å utbedre oppdagede sårbarheter innen rimelig tid; og

  • anerkjenner ditt bidrag til å forbedre sikkerheten vår hvis du er den første til å rapportere en unik sårbarhet og rapporten din fører til en kode- eller konfigurasjonsendring.

Grunnregler

For å oppfordre til sårbarhetsforskning og for å unngå forvirring mellom hacking i god tro og ondsinnet angrep, ber vi om følgende fra deg.

  • Følg spillereglene. Dette inkluderer å følge denne policyen samt enhver annen relevant avtale. Hvis det er inkonsekvenser mellom denne policyen og andre relevante vilkår, vil vilkårene i denne policyen være gjeldende.

  • Rapporter alle sårbarheter du oppdager så snart som mulig.

  • Unngå å bryte andres personvern, forstyrre våre systemer, ødelegge data, og/eller skade brukeropplevelsen.

  • Bruk kun offisielle kanaler for å diskutere sårbarhetsinformasjon med oss.

  • Hold detaljene om oppdagede sårbarheter hemmelig til de er rettet, i henhold til rapporteringspolicyen.

  • Utfør testing kun på systemer i omfanget, og respekter systemer og aktiviteter som er utenfor omfanget.

  • Hvis en sårbarhet gir utilsiktet tilgang til data:

    • begrens mengden data du åpner til et minimum som kreves for å demonstrere konseptutprøving på en effektiv måte; og

    • avslutt testingen og send en rapport umiddelbart hvis du oppdager noe brukerdata under testing, for eksempel personlig identifiserbar informasjon (PII), personlig helseinformasjon(PHI), kredittkortopplysninger eller proprietær informasjon;

  • Du skal bare samhandle med testkontoer du eier eller med eksplisitt tillatelse fra kontoinnehaveren.

  • Ikke delta i utpressing.

Avtale om safe harbor

Når du utfører sårbarhetsforskning i samsvar med denne policyen, anser vi denne forskningen som utføres under denne policyen å være:

  • autorisert med hensyn til enhver gjeldende lover mot hacking, og vi vil ikke iverksette eller støtte rettslige skritt mot deg for utilsiktede brudd på denne policyen;

  • autorisert med hensyn til relevante lover mot omgåelse, og vi vil ikke reise et krav mot deg for omgåelse av teknologikontroller;

  • unntatt restriksjoner i vår Policy for akseptabel bruk, som kan forstyrre utførelsen av sårbarhetsforskningen, og vi frafaller disse restriksjonene på et begrenset grunnlag; og

  • lovlig, hjelpsom for den generelle internett-sikkerheten, og utført i god tro.

Som alltid forventes det at du overholder alle gjelende lover. Hvis rettslige skritt iverksettes av en tredjepart mot deg og du har overholdt denne policyen, vil vi iverksette tiltak for å gjøre det kjent at dine handlinger ble utført i samsvar med denne policyen.

Hvis du når som helst skulle ha bekymringer eller er usikker på om sårbarhetsforskningen din er i samsvar med denne policyen, kan du sende en rapport gjennom en av våre offisielle kanaler før du går videre.

Hvordan sende inn en rapport

Forskere kan sende inn sine rapporter gjennom Bugcrowd. Alternativt aksepterer vi også innsendinger via e-post til security@expressvpn.com.

Vennligst merk: EkspressVPN bruker Bugcrowd for å administrere alle bug bounty-programmer. Innsendinger via e-post betyr at vi vil dele e-postadressen din og e-postens innhold med Bugcrowd i forbindelse med sortering, selv om du ikke er et medlem på plattformen.

Finn ut hvem som har fått belønning i vårt bug bounty-program.