Program bug bounty ExpressVPN
ExpressVPN obsługuje tysiące serwerów VPN, tworząc wieloplatformowe aplikacje VPN dla wszystkich głównych systemów operacyjnych, a także routerów i rozszerzeń przeglądarek.
ExpressVPN bardzo poważnie traktuje kwestię bezpieczeństwa swoich aplikacji i usług. Od lat prowadzimy wewnętrzny program bug bunty, w ramach którego przekazaliśmy już dziesiątki tysięcy dolarów tym, którzy nam pomogli. Cenimy doskonałą inżynierię i zawsze szukamy sposobów na zwiększenie ochrony naszych produktów oraz usług.

Informacje o celu
Zakres
Zakres obejmuje następujące produkty i usługi:
serwery VPN
aplikację ExpressVPN dla iOS
aplikację ExpressVPN dla Androida
aplikację ExpressVPN dla Linuxa
aplikację ExpressVPN dla macOS
aplikację ExpressVPN dla Windowsa
aplikację ExpressVPN dla routera
rozszerzenie ExpressVPN dla Firefoxa
rozszerzenie ExpressVPN dla Chrome
serwery DNS MediaStreamer
Interfejsy programowania aplikacji (APIs) ExpressVPN
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
Oprócz wyżej wymienionych, zakres obejmuje również:
systemy wewnętrzne, np. e-mail pracowników, wewnętrzne czaty, hosting kodu źródłowego,
wszelkie luki, które mogą zagrażać prywatności naszych pracowników.
Fokus
Szczególnie interesują nas:
luki w naszych aplikacjach klienckich, zwłaszcza luki prowadzące do eskalacji uprawnień,
wszelkiego rodzaju nieautoryzowany dostęp do naszych serwerów VPN,
luki, które ujawniają dane naszych klientów osobom nieuprawnionym,
luki, które osłabiają, przerywają lub w jakikolwiek inny sposób osłabiają komunikację VPN tak, że ruch użytkownika korzystającego z naszych produktów VPN może zostać ujawniony.
Ponadto, każdy publicznie dostępny host, który jest własnością ExpressVPN lub jest przez niego obsługiwany, a którego nie ma na powyższej liście, może być uwzględniony w zakresie, indywidualnie dla każdego przypadku.
Cała własność ExpressVPN może być uwzględniona. Jednak, niektóre metodologie testowania są wykluczone. W szczególności testy, które obniżają jakość usług (np. DoS lub spam) nie będą uwzględnione.
Poza zakresem
Wersje alfa i beta naszych aplikacji
Inżynieria społeczna (np. phishing)
Fizyczna ochrona naszych biur, serwerów i pracowników
Oprogramowanie innych podmiotów (z wyjątkiem przypadków, w których istnieje luka, którą można wykorzystać z powodu błędnej konfiguracji lub numeru korekty)
Bezpieczna przystań
Zapewniamy całkowicie bezpieczną przystań, w zgodzie z podstawowymi warunkami określonymi przez define.io – globalnie.
Bezpieczeństwo jest kluczową podstawą naszych wartości, dlatego cenimy wkład hakerów działających w dobrej wierze, aby pomóc nam utrzymać wysoki standard ochrony oraz prywatności naszych użytkowników. To obejmuje zachęcanie do odpowiedzialnego badania i ujawniania luk w zabezpieczeniach. Niniejsza polityka określa naszą definicję dobrej wiary w kontekście znajdowania i zgłaszania luk, a także tego, czego możesz od nas oczekiwać w zamian.
Oczekiwania
Współpracując z nami zgodnie z tą polityką, możesz oczekiwać, że:
zwiększymy bezpieczną przystań dla Twoich badań, które są powiązane z tą polityką;
będziemy z Tobą współpracować, by zrozumieć i zweryfikować Twój raport, w tym wstępną odpowiedź na zgłoszenie;
będziemy pracować nad usunięciem wykrytych luk w odpowiednim czasie; i
docenimy Twój wkład w poprawę naszej ochrony, jeśli jako pierwsza osoba zgłosisz unikalną lukę w zabezpieczeniach, a Twój raport wpłynie na zmianę kodu lub konfiguracji.
Podstawowe zasady
Aby wspierać badanie luk w zabezpieczeniach i unikać nieporozumień wynikających z różnicy między hakowaniem w dobrej wierze a złośliwym atakiem, prosimy Cię o przestrzeganie następujących zasad.
Graj zgodnie z zasadami. Obejmuje to przestrzeganie polityki, a także wszelkich innych istotnych porozumień. Jeśli istnieje jakakolwiek niezgodność między niniejszą polityką a innymi stosownymi warunkami, pierwszeństwo mają reguły polityki.
Natychmiast zgłaszaj wszelkie wykryte luki.
Unikaj naruszania prywatności innych osób, zakłócania pracy naszych systemów, niszczenia danych i/lub szkodzenia doświadczeniu użytkownika.
Korzystaj tylko z oficjalnych kanałów, aby omawiać z nami informacje dotyczące luk w zabezpieczeniach.
Zachowaj szczegóły na temat wszelkich wykrytych luk dla siebie, dopóki nie zostaną naprawione (zgodnie z polityką ujawniania informacji).
Przeprowadzaj testy jedynie na systemach objętych zakresem i przestrzegaj systemów oraz działań, które znajdują się poza zakresem.
Jeśli luka powoduje niezamierzony dostęp do danych:
ogranicz ilość danych, do których masz dostęp do minimum wymaganego do skutecznego wykazania dowodu poprawności; i
zaprzestań testów i natychmiast prześlij raport, jeśli podczas testowania napotkasz jakiekolwiek dane użytkownika, jak dane osobowe (PII), informacje o stanie zdrowia (PHI), dane karty kredytowej lub informacje zastrzeżone;
Wchodź w interakcje jedynie z kontami testowymi, które należą do Ciebie lub za wyraźną zgodą właściciela konta.
Nie angażuj się w wymuszenia.
Bezpieczna przystań – porozumienie
Przeprowadzając badania pod kątem luk, zgodnie z niniejszą polityką, uważamy, że owe badania, przeprowadzone w ramach tejże polityki, są:
autoryzowane w świetle wszelkich obowiązujących przepisów dotyczących przeciwdziałania włamaniom i nie będziemy inicjować ani wspierać działań prawnych przeciwko Tobie w przypadku nieumyślnych naruszeń tych zasad w dobrej wierze;
autoryzowane w świetle odpowiednich przepisów dotyczących obchodzenia zabezpieczeń i nie będziemy wnosić przeciwko Tobie roszczeń z tytułu obchodzenia kontroli technologii;
zwolnione z ograniczeń określonych w naszej polityce dopuszczalnego użytkowania, które kolidowałyby z przeprowadzaniem badań w kwestii bezpieczeństwa oraz zrzekamy się tychże ograniczeń w limitowanym zakresie; i
zgodne z prawem, pomocne w kwestii ogólnego bezpieczeństwa Internetu oraz prowadzone w dobrej wierze.
Oczekuje się, jak zawsze, przestrzegania wszelkich obowiązujących przepisów. Jeśli osoba trzecia wszczęła przeciwko Tobie, a Twoje działania były zgodne z niniejszą polityką, podejmiemy kroki, aby potwierdziź, że Twoje działania zostały przeprowadzone zgodnie z tą polityką.
Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy Twoje badanie w kwestii bezpieczeństwa jest zgodne z niniejszą polityką, prześlij raport za pośrednictwem jednego z naszych oficjalnych kanałów, zanim przystąpisz do dalszego działania.
Jak wysłać raport
Badacze powinni przesyłać swoje raporty za pośrednictwem Bugcrowd. Alternatywnie, akceptujemy również zgłoszenia wysłane pocztą elektroniczną na adres security@expressvpn.com.
Uwaga: ExpressVPN używa Bugcrowd w celu zarządzania wszystkimi programami do zgłaszania błędów. Przesłanie raportu e-mailem wiąże się z tym, że udostępnimy Twój adres e-mail oraz treść wiadomości Bugcrowd w celu przeprowadzenia selekcji, nawet jeśli nie jesteś członkiem platformy.
Dowiedz się, kto został nagrodzony w naszym programie bug bounty.