Programa de Recompensas por Bugs da ExpressVPN

A ExpressVPN opera milhares de servidores VPN e faz aplicações VPN multiplataforma para todos os principais sistemas operacionais, bem como roteadores e extensões de navegadores.

A ExpressVPN leva a sério a segurança de suas aplicações e serviços. Há anos oferecemos um programa interno de recompensa por bugs e concedemos dezenas de milhares de dólares a pesquisadores de segurança. Valorizamos a excelente engenharia e estamos sempre procurando maneiras de melhorar a segurança de nossos produtos e serviços.

Bug bounty

Informação de interesse

Escopo

Os seguintes produtos e serviços estão no escopo:

  • Servidores VPN

  • Aplicação ExpressVPN iOS

  • Aplicação ExpressVPN Android

  • Aplicação ExpressVPN Linux

  • Aplicação do ExpressVPN macOS

  • Aplicação Windows ExpressVPN

  • Aplicação do roteador ExpressVPN

  • Extensão ExpressVPN Firefox

  • Extensão ExpressVPN Chrome

  • Servidores DNS MediaStreamer

  • APIs da ExpressVPN

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Assim como os recursos listados acima, também estão no escopo:

  • sistemas internos, por exemplo, e-mail de funcionários, mensagens de chat internas, hospedagem do código fonte,

  • qualquer vulnerabilidade que comprometa a privacidade de nossos funcionários.

Foco

Estamos particularmente interessados em:

  • vulnerabilidades nas aplicações de nossos clientes, especialmente vulnerabilidades que levam a um aumento de privilégios,

  • qualquer tipo de acesso não autorizado em nossos servidores VPN,

  • vulnerabilidades que expõem os dados de nossos clientes a pessoas não autorizadas,

  • vulnerabilidades que enfraquecem, quebram ou de outra forma subvertem nossas comunicações VPN de forma a expor o tráfego de qualquer pessoa que utilize nossos produtos de VPN.

.Além disso, qualquer host acessível ao público que seja de propriedade ou operado pela ExpressVPN e que não esteja na lista acima pode ser considerado no escopo, dependendo do caso. Todas as propriedades da ExpressVPN podem ser consideradas incluídas. Entretanto, certas metodologias de teste estão excluídas. Especificamente, testes que degradam a qualidade do serviço, por exemplo, DoS ou spam, não serão considerados para inclusão.

Fora do escopo

  • Versões alfa e beta de nossas aplicações

  • Engenharia social (por exemplo, phishing)

  • Segurança física de nossos escritórios, servidores e funcionários

  • Software de terceiros (exceto nos casos em que há uma vulnerabilidade explorável devido a má configuração ou nível de patch)


Safe harbor

Fornecemos um safe harbor completo, de acordo com as normas Globais da disclose.io.

A segurança é fundamental para nossos valores, e valorizamos a entrada de hackers agindo de boa fé para nos ajudar a manter um alto padrão de segurança e privacidade para nossos usuários. Isto inclui o incentivo à pesquisa e divulgação responsável de vulnerabilidades. Esta política estabelece nossa definição de boa fé no contexto de encontrar e reportar vulnerabilidades, assim como o que você pode esperar de nós em troca.

Expectativas

Ao trabalhar conosco de acordo com esta política, você pode esperar que nós o façamos:

  • estender o porto seguro para sua pesquisa de vulnerabilidade que está relacionada a esta política;

  • trabalhar com você para compreender e validar seu relatório, incluindo uma resposta inicial após o envio;

  • trabalhar para remediar as vulnerabilidades descobertas de forma oportuna; e

  • reconhecer sua contribuição para melhorar nossa segurança se você for o primeiro a relatar uma vulnerabilidade única, e seu relatório desencadeia uma mudança de código ou configuração.

Regras básicas

Para incentivar a pesquisa de vulnerabilidade e evitar qualquer confusão entre hacking de boa fé e ataques maliciosos, pedimos o seguinte de vocês.

  • Siga as regras. Isto inclui seguir esta política, assim como quaisquer outros acordos relevantes. Se houver qualquer inconsistência entre esta política e quaisquer outros termos relevantes, os termos desta política prevalecerão.

  • Relate qualquer vulnerabilidade que você tenha descoberto prontamente.

  • Evite violar a privacidade de outros, perturbar nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário.

  • Use apenas os canais oficiais para discutir conosco informações sobre vulnerabilidade.

  • Mantenha os detalhes de quaisquer vulnerabilidades descobertas em sigilo até que elas sejam corrigidas, de acordo com a política de divulgação.

  • Realize testes somente em sistemas dentro do escopo e respeitar sistemas e atividades que estejam fora do escopo.

  • Se uma vulnerabilidade fornecer acesso não intencional aos dados:

    • limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e

    • cessar os testes e enviar um relatório imediatamente se você encontrar quaisquer dados de usuário durante os testes, tais como informações pessoais identificáveis (PII), informações pessoais de saúde (PHI), dados de cartão de crédito, ou informações de propriedade;

  • Você só deve interagir com as contas de teste que você possui ou com permissão explícita do titular da conta.

  • Não se envolva em extorsão.

Acordo de Safe Harbor

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos esta pesquisa conduzida sob esta política como sendo:

  • autorizada em vista de quaisquer leis anti-hacking aplicáveis, e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política;

  • autorizada tendo em vista as leis anti-evasão relevantes, e não apresentaremos nenhuma reclamação contra você por evasão aos controles tecnológicos;

  • isenta de restrições em nossa Política de Uso Aceitável que interfiram na condução de pesquisas de segurança, e renunciamos a essas restrições de forma limitada; e

  • lícita, útil para a segurança geral da Internet, e conduzido de boa fé.

Espera-se, como sempre, que você cumpra com todas as leis aplicáveis. Se uma ação legal for iniciada por um terceiro contra você e você tiver cumprido esta política, tomaremos medidas para informar que suas ações foram conduzidas em conformidade com esta política.
Se a qualquer momento você tiver preocupações ou estiver incerto se sua pesquisa de segurança é consistente com esta política, favor apresentar um relatório através de um de nossos canais oficiais antes de continuar.

Como enviar um relatório

Os pesquisadores devem apresentar seus relatórios através do Bugcrowd. Alternativamente, também aceitamos envios por e-mail pelo security@expressvpn.com.

Atenção: A ExpressVPN utiliza o Bugcrowd para gerenciar todos os programas de recompensa de bugs. O envio por e-mail significa que compartilharemos seu endereço de e-mail e conteúdo com o Bugcrowd para fins de triagem, mesmo que você não seja um membro da plataforma.

Descubra quem foi recompensado em nosso programa de recompensa de bugs.