Program bug bounty ExpressVPN
ExpressVPN obsługuje tysiące serwerów VPN, tworząc wieloplatformowe aplikacje VPN dla wszystkich głównych systemów operacyjnych, a także routerów i rozszerzeń przeglądarek.
ExpressVPN bardzo poważnie traktuje kwestię bezpieczeństwa swoich aplikacji i usług. Od lat prowadzimy wewnętrzny program bug bunty, w ramach którego przekazaliśmy już dziesiątki tysięcy dolarów tym, którzy nam pomogli. Cenimy doskonałą inżynierię i zawsze szukamy sposobów na zwiększenie ochrony naszych produktów oraz usług.
Informacje o celu
Zakres
Zakres obejmuje następujące produkty i usługi:
serwery VPN
aplikację ExpressVPN dla iOS
aplikację ExpressVPN dla Androida
aplikację ExpressVPN dla Linuxa
aplikację ExpressVPN dla macOS
aplikację ExpressVPN dla Windowsa
aplikację ExpressVPN dla routera
rozszerzenie ExpressVPN dla Firefoxa
rozszerzenie ExpressVPN dla Chrome
serwery DNS MediaStreamer
Interfejsy programowania aplikacji (APIs) ExpressVPN
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
Oprócz wyżej wymienionych, zakres obejmuje również:
Systemy wewnętrzne, np. e-mail pracowników, wewnętrzne czaty, hosting kodu źródłowego.
Wszelkie luki, które mogą zagrażać prywatności naszych pracowników.
Fokus
Szczególnie interesują nas:
Luki w naszych aplikacjach klienckich, zwłaszcza luki prowadzące do eskalacji uprawnień.
Wszelkiego rodzaju nieautoryzowany dostęp do naszych serwerów VPN.
Luki, które ujawniają dane naszych klientów osobom nieuprawnionym.
Luki, które osłabiają, przerywają lub w jakikolwiek inny sposób osłabiają komunikację VPN tak, że ruch użytkownika korzystającego z naszych produktów VPN może zostać ujawniony.
Ponadto, każdy publicznie dostępny host, który jest własnością ExpressVPN lub jest przez niego obsługiwany, a którego nie ma na powyższej liście, może być uwzględniony w zakresie, indywidualnie dla każdego przypadku.
Dotyczy to wszystkich własności ExpressVPN. Jednak niektóre metodologie testowania są wykluczone. W szczególności testy, które obniżają jakość usług (np. DoS lub spam) nie będą uwzględnione.
W tym zakresie znajdują się także publiczne wersje beta naszych aplikacji. Możesz je znaleźć na naszej stronie beta tester.
Poza zakresem
Wersje alfa naszych aplikacji.
Inżynieria społeczna (np. phishing).
Fizyczna ochrona naszych biur, serwerów i pracowników.
Oprogramowanie innych podmiotów (z wyjątkiem przypadków, w których istnieje luka, którą można wykorzystać z powodu błędnej konfiguracji lub numeru korekty).
Bezpieczna przystań
Zapewniamy całkowicie bezpieczną przystań, w zgodzie z podstawowymi warunkami określonymi przez define.io – globalnie.
Bezpieczeństwo jest kluczową podstawą naszych wartości, dlatego cenimy wkład hakerów działających w dobrej wierze, aby pomóc nam utrzymać wysoki standard ochrony oraz prywatności naszych użytkowników. To obejmuje zachęcanie do odpowiedzialnego badania i ujawniania luk w zabezpieczeniach. Niniejsza polityka określa naszą definicję dobrej wiary w kontekście znajdowania i zgłaszania luk, a także tego, czego możesz od nas oczekiwać w zamian.
Oczekiwania
Współpracując z nami zgodnie z tą polityką, możesz oczekiwać, że:
zwiększymy bezpieczną przystań dla Twoich badań, które są powiązane z tą polityką;
będziemy z Tobą współpracować, by zrozumieć i zweryfikować Twój raport, w tym wstępną odpowiedź na zgłoszenie;
będziemy pracować nad usunięciem wykrytych luk w odpowiednim czasie; i
docenimy Twój wkład w poprawę naszej ochrony, jeśli jako pierwsza osoba zgłosisz unikalną lukę w zabezpieczeniach, a Twój raport wpłynie na zmianę kodu lub konfiguracji.
Podstawowe zasady
Aby wspierać badanie luk w zabezpieczeniach i unikać nieporozumień wynikających z różnicy między hakowaniem w dobrej wierze a złośliwym atakiem, prosimy Cię o przestrzeganie następujących zasad.
Graj zgodnie z zasadami. Obejmuje to przestrzeganie polityki, a także wszelkich innych istotnych porozumień. Jeśli istnieje jakakolwiek niezgodność między niniejszą polityką a innymi stosownymi warunkami, pierwszeństwo mają reguły polityki.
Natychmiast zgłaszaj wszelkie wykryte luki.
Unikaj naruszania prywatności innych osób, zakłócania pracy naszych systemów, niszczenia danych i/lub szkodzenia doświadczeniu użytkownika.
Korzystaj tylko z oficjalnych kanałów, aby omawiać z nami informacje dotyczące luk w zabezpieczeniach.
Zachowaj szczegóły na temat wszelkich wykrytych luk dla siebie, dopóki nie zostaną naprawione (zgodnie z polityką ujawniania informacji).
Przeprowadzaj testy jedynie na systemach objętych zakresem i przestrzegaj systemów oraz działań, które znajdują się poza zakresem.
Jeśli luka powoduje niezamierzony dostęp do danych:
ogranicz ilość danych, do których masz dostęp do minimum wymaganego do skutecznego wykazania dowodu poprawności; i
zaprzestań testów i natychmiast prześlij raport, jeśli podczas testowania napotkasz jakiekolwiek dane użytkownika, jak dane osobowe (PII), informacje o stanie zdrowia (PHI), dane karty kredytowej lub informacje zastrzeżone;
Wchodź w interakcje jedynie z kontami testowymi, które należą do Ciebie lub za wyraźną zgodą właściciela konta.
Nie angażuj się w wymuszenia.
Bezpieczna przystań – porozumienie
Przeprowadzając badania pod kątem luk, zgodnie z niniejszą polityką, uważamy, że owe badania, przeprowadzone w ramach tejże polityki, są:
autoryzowane w świetle wszelkich obowiązujących przepisów dotyczących przeciwdziałania włamaniom i nie będziemy inicjować ani wspierać działań prawnych przeciwko Tobie w przypadku nieumyślnych naruszeń tych zasad w dobrej wierze;
autoryzowane w świetle odpowiednich przepisów dotyczących obchodzenia zabezpieczeń i nie będziemy wnosić przeciwko Tobie roszczeń z tytułu obchodzenia kontroli technologii;
zwolnione z ograniczeń określonych w naszej polityce dopuszczalnego użytkowania, które kolidowałyby z przeprowadzaniem badań w kwestii bezpieczeństwa oraz zrzekamy się tychże ograniczeń w limitowanym zakresie; i
zgodne z prawem, pomocne w kwestii ogólnego bezpieczeństwa Internetu oraz prowadzone w dobrej wierze.
Oczekuje się, jak zawsze, przestrzegania wszelkich obowiązujących przepisów. Jeśli osoba trzecia wszczęła przeciwko Tobie, a Twoje działania były zgodne z niniejszą polityką, podejmiemy kroki, aby potwierdziź, że Twoje działania zostały przeprowadzone zgodnie z tą polityką.
Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy Twoje badanie w kwestii bezpieczeństwa jest zgodne z niniejszą polityką, prześlij raport za pośrednictwem jednego z naszych oficjalnych kanałów, zanim przystąpisz do dalszego działania.
Jednorazowa nagroda w wysokości 100 000 USD
Zaprojektowaliśmy nasze serwery VPN tak, aby były bezpieczne i odporne dzięki systemowi o nazwie TrustedServer, który radykalnie poprawia ich poziom bezpieczeństwa. Jesteśmy pewni naszej pracy w tej dziedzinie i dążymy do tego, aby nasze serwery VPN spełniały nasze oczekiwania w zakresie bezpieczeństwa.
W związku z tym zapraszamy naszych badaczy do skoncentrowania się na testowaniu następujących rodzajów problemów bezpieczeństwa na naszych serwerach VPN:
nieautoryzowany dostęp do serwera VPN lub zdalne wykonanie kodu
luki w naszym serwerze VPN, które powodują wyciek prawdziwych adresów IP klientów lub możliwość monitorowania ruchu użytkowników
Aby móc zakwalifikować Ciędo ubiegania się o tę nagrodę, będziemy wymagać od CIebie dowodu wpływu luki na prywatność naszych użytkowników. Musisz zademonstrować nieautoryzowany dostęp, zdalne wykonanie kodu, wyciek adresu IP lub możliwośc monitorowania niezaszyfrowanego (nie szyfrowanego przez VPN) ruchu użytkownika.
Aby uczynić to wyzwanie jeszcze bardziej kuszącym, oferujemy następującą nagrodę: pierwsza osoba, która zgłosi kwalifikującą lukę, otrzyma dodatkowy bonus w wysokości 100 000 USD. Bonus ten będzie ważny do momentu odebrania nagrody.
Zakres
Używamy TrustedServer jako platformy dla wszystkich protokołów, które oferujemy naszym użytkownikom, więc program obejmuje wszystkie nasze serwery VPN.
Upewnij sę, że Twoje działania pozostają w zakresie programu. Na przykład, panele administracyjne dla usług centrum danych, z których korzystamy, są poza zakresem programu, ponieważ nie są własnością, nie są hostowane i nie są obsługiwane przez ExpressVPN. Jeśli nie wiesz do końca, czy przeprowadzane przez Ciebie testy mieszczą się w zakresie programu, prosimy o kontakt na support@bugcrowd.com w celu potwierdzenia tego. Jeśli okaże się, że przeprowadzasz testy poza zakresem programu, nie będzie w stanieotrzymać nagrody, a my zastrzegamy sobie prawo do natychmiastowego usunięcia Ciię z programu.
Wykluczenia
Staramy się, aby nasze wyzwania oferowały równe szanse. Dlatego następujące osoby nie są uprawnione do ubiegania się o premię za pierwsze krytyczne znalezisko:
pełnoetatowi i niepełnoetatii pracownicy ExpressVPN lub pracownicy dowolnej innej filii Kape Technologies, a także ich przyjacele i rodziny; oraz
wykonawcy, konsultanci, przedstawiciele, dostawcy, sprzedawcy oraz inne osoby związane lub w inny sposób powiązane z ExpressVPN.
Jak wysłać raport
Badacze powinni przesyłać swoje raporty za pośrednictwem Bugcrowd. Alternatywnie, akceptujemy również zgłoszenia wysłane pocztą elektroniczną na adres security@expressvpn.com.
Uwaga: ExpressVPN używa Bugcrowd w celu zarządzania wszystkimi programami do zgłaszania błędów. Przesłanie raportu e-mailem wiąże się z tym, że udostępnimy Twój adres e-mail oraz treść wiadomości Bugcrowd w celu przeprowadzenia selekcji, nawet jeśli nie jesteś członkiem platformy.
Dowiedz się, kto został nagrodzony w naszym programie bug bounty.