Program bug bounty ExpressVPN

ExpressVPN obsługuje tysiące serwerów VPN, tworząc wieloplatformowe aplikacje VPN dla wszystkich głównych systemów operacyjnych, a także routerów i rozszerzeń przeglądarek.

ExpressVPN bardzo poważnie traktuje kwestię bezpieczeństwa swoich aplikacji i usług. Od lat prowadzimy wewnętrzny program bug bunty, w ramach którego przekazaliśmy już dziesiątki tysięcy dolarów tym, którzy nam pomogli. Cenimy doskonałą inżynierię i zawsze szukamy sposobów na zwiększenie ochrony naszych produktów oraz usług.

Bug bounty

Informacje o celu

Zakres

Zakres obejmuje następujące produkty i usługi:

  • serwery VPN

  • aplikację ExpressVPN dla iOS

  • aplikację ExpressVPN dla Androida

  • aplikację ExpressVPN dla Linuxa

  • aplikację ExpressVPN dla macOS

  • aplikację ExpressVPN dla Windowsa

  • aplikację ExpressVPN dla routera

  • rozszerzenie ExpressVPN dla Firefoxa

  • rozszerzenie ExpressVPN dla Chrome

  • serwery DNS MediaStreamer

  • Interfejsy programowania aplikacji (APIs) ExpressVPN

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Oprócz wyżej wymienionych, zakres obejmuje również:

  • systemy wewnętrzne, np. e-mail pracowników, wewnętrzne czaty, hosting kodu źródłowego,

  • wszelkie luki, które mogą zagrażać prywatności naszych pracowników.

Fokus

Szczególnie interesują nas:

  • luki w naszych aplikacjach klienckich, zwłaszcza luki prowadzące do eskalacji uprawnień,

  • wszelkiego rodzaju nieautoryzowany dostęp do naszych serwerów VPN,

  • luki, które ujawniają dane naszych klientów osobom nieuprawnionym,

  • luki, które osłabiają, przerywają lub w jakikolwiek inny sposób osłabiają komunikację VPN tak, że ruch użytkownika korzystającego z naszych produktów VPN może zostać ujawniony.

Ponadto, każdy publicznie dostępny host, który jest własnością ExpressVPN lub jest przez niego obsługiwany, a którego nie ma na powyższej liście, może być uwzględniony w zakresie, indywidualnie dla każdego przypadku.

Cała własność ExpressVPN może być uwzględniona. Jednak, niektóre metodologie testowania są wykluczone. W szczególności testy, które obniżają jakość usług (np. DoS lub spam) nie będą uwzględnione.

Poza zakresem

  • Wersje alfa i beta naszych aplikacji

  • Inżynieria społeczna (np. phishing)

  • Fizyczna ochrona naszych biur, serwerów i pracowników

  • Oprogramowanie innych podmiotów (z wyjątkiem przypadków, w których istnieje luka, którą można wykorzystać z powodu błędnej konfiguracji lub numeru korekty)

Bezpieczna przystań

Zapewniamy całkowicie bezpieczną przystań, w zgodzie z podstawowymi warunkami określonymi przez define.io – globalnie.

Bezpieczeństwo jest kluczową podstawą naszych wartości, dlatego cenimy wkład hakerów działających w dobrej wierze, aby pomóc nam utrzymać wysoki standard ochrony oraz prywatności naszych użytkowników. To obejmuje zachęcanie do odpowiedzialnego badania i ujawniania luk w zabezpieczeniach. Niniejsza polityka określa naszą definicję dobrej wiary w kontekście znajdowania i zgłaszania luk, a także tego, czego możesz od nas oczekiwać w zamian.

Oczekiwania

Współpracując z nami zgodnie z tą polityką, możesz oczekiwać, że:

  • zwiększymy bezpieczną przystań dla Twoich badań, które są powiązane z tą polityką;

  • będziemy z Tobą współpracować, by zrozumieć i zweryfikować Twój raport, w tym wstępną odpowiedź na zgłoszenie;

  • będziemy pracować nad usunięciem wykrytych luk w odpowiednim czasie; i

  • docenimy Twój wkład w poprawę naszej ochrony, jeśli jako pierwsza osoba zgłosisz unikalną lukę w zabezpieczeniach, a Twój raport wpłynie na zmianę kodu lub konfiguracji.

Podstawowe zasady

Aby wspierać badanie luk w zabezpieczeniach i unikać nieporozumień wynikających z różnicy między hakowaniem w dobrej wierze a złośliwym atakiem, prosimy Cię o przestrzeganie następujących zasad.

  • Graj zgodnie z zasadami. Obejmuje to przestrzeganie polityki, a także wszelkich innych istotnych porozumień. Jeśli istnieje jakakolwiek niezgodność między niniejszą polityką a innymi stosownymi warunkami, pierwszeństwo mają reguły polityki.

  • Natychmiast zgłaszaj wszelkie wykryte luki.

  • Unikaj naruszania prywatności innych osób, zakłócania pracy naszych systemów, niszczenia danych i/lub szkodzenia doświadczeniu użytkownika.

  • Korzystaj tylko z oficjalnych kanałów, aby omawiać z nami informacje dotyczące luk w zabezpieczeniach.

  • Zachowaj szczegóły na temat wszelkich wykrytych luk dla siebie, dopóki nie zostaną naprawione (zgodnie z polityką ujawniania informacji).

  • Przeprowadzaj testy jedynie na systemach objętych zakresem i przestrzegaj systemów oraz działań, które znajdują się poza zakresem.

  • Jeśli luka powoduje niezamierzony dostęp do danych:

    • ogranicz ilość danych, do których masz dostęp do minimum wymaganego do skutecznego wykazania dowodu poprawności; i

    • zaprzestań testów i natychmiast prześlij raport, jeśli podczas testowania napotkasz jakiekolwiek dane użytkownika, jak dane osobowe (PII), informacje o stanie zdrowia (PHI), dane karty kredytowej lub informacje zastrzeżone;

  • Wchodź w interakcje jedynie z kontami testowymi, które należą do Ciebie lub za wyraźną zgodą właściciela konta.

  • Nie angażuj się w wymuszenia.

Bezpieczna przystań – porozumienie

Przeprowadzając badania pod kątem luk, zgodnie z niniejszą polityką, uważamy, że owe badania, przeprowadzone w ramach tejże polityki, są:

  • autoryzowane w świetle wszelkich obowiązujących przepisów dotyczących przeciwdziałania włamaniom i nie będziemy inicjować ani wspierać działań prawnych przeciwko Tobie w przypadku nieumyślnych naruszeń tych zasad w dobrej wierze;

  • autoryzowane w świetle odpowiednich przepisów dotyczących obchodzenia zabezpieczeń i nie będziemy wnosić przeciwko Tobie roszczeń z tytułu obchodzenia kontroli technologii;

  • zwolnione z ograniczeń określonych w naszej polityce dopuszczalnego użytkowania, które kolidowałyby z przeprowadzaniem badań w kwestii bezpieczeństwa oraz zrzekamy się tychże ograniczeń w limitowanym zakresie; i

  • zgodne z prawem, pomocne w kwestii ogólnego bezpieczeństwa Internetu oraz prowadzone w dobrej wierze.

Oczekuje się, jak zawsze, przestrzegania wszelkich obowiązujących przepisów. Jeśli osoba trzecia wszczęła przeciwko Tobie, a Twoje działania były zgodne z niniejszą polityką, podejmiemy kroki, aby potwierdziź, że Twoje działania zostały przeprowadzone zgodnie z tą polityką.

Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy Twoje badanie w kwestii bezpieczeństwa jest zgodne z niniejszą polityką, prześlij raport za pośrednictwem jednego z naszych oficjalnych kanałów, zanim przystąpisz do dalszego działania.

Jak wysłać raport

Badacze powinni przesyłać swoje raporty za pośrednictwem Bugcrowd. Alternatywnie, akceptujemy również zgłoszenia wysłane pocztą elektroniczną na adres security@expressvpn.com.

Uwaga: ExpressVPN używa Bugcrowd w celu zarządzania wszystkimi programami do zgłaszania błędów. Przesłanie raportu e-mailem wiąże się z tym, że udostępnimy Twój adres e-mail oraz treść wiadomości Bugcrowd w celu przeprowadzenia selekcji, nawet jeśli nie jesteś członkiem platformy.

Dowiedz się, kto został nagrodzony w naszym programie bug bounty.