Программа поиска багов ExpressVPN

ExpressVPN управляет тысячами VPN-серверов и создаёт как кроссплатформенные VPN-приложения для всех основных операционных систем и роутеров, так и браузерные расширения.

ExpressVPN крайне серьёзно относится к вопросу безопасности этих приложений и не только. Наша компания уже многие годы предлагает всем желающим принять участие в программе поиска багов, более того — на данный момент мы выплатили десятки тысяч долларов вознаграждения принявшим в ней участие специалистам по кибербезопасности. Мы очень ценим компетентные мнения и всегда ищем новые способы сделать наши продукты и услуги еще более безопасными.

Получайте вознаграждения с помощью нашей программы "bug bounty".

Интересующие нас сведения

Цель

Целью данной программы являются следующие продукты и сервисы:

  • Серверы VPN

  • Приложение ExpressVPN для iOS 

  • Приложение ExpressVPN для Android 

  • Приложение ExpressVPN для Linux 

  • Приложение ExpressVPN для macOS 

  • Приложение ExpressVPN для Windows 

  • Приложение ExpressVPN для роутеров

  • Расширение ExpressVPN для Firefox

  • Расширение ExpressVPN для Chrome

  • DNS-серверы MediaStreamer 

  • ExpressVPN API

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Также программа поиска багов распространяется на:

  • внутренние системы, в том числе эл. почту сотрудников, мессенджеры для внутреннего общения, хостинг исходного кода,

  • любые уязвимости, ставящие под угрозу конфиденциальность наших сотрудников.

Особое внимание

Мы особенно заинтересованы в:

  • уязвимостях наших клиентских приложений, в частности в уязвимостях, обеспечивающих несанкционированный доступ того или иного уровня,

  • неавторизованном доступе к нашим VPN-серверам,

  • уязвимостях, открывающих неавторизованный доступ к данным наших клиентов посторонним,

  • уязвимостях, способных затруднить, нарушить или иным образом ухудшить работу наших VPN-систем, открыв доступ к трафику пользователей наших VPN-продуктов.

В зависимости от конкретного случая в фокус данной программы также могут входить любые общедоступные хосты, принадлежащие компании ExpressVPN или управляемые ей, но не перечисленные в списке выше.

Любая собственность ExpressVPN может считаться входящей в фокус данной программы. При этом определенные методы тестирования запрещены к применению — в частности, тесты, способные привести к нарушению качества услуг (DoS, спам).

В данную программу не входят

  • Альфа- и бета-версии наших приложений

  • Социальный инжиниринг (фишинг)

  • Вопросы физической безопасности наших офисов, серверов и сотрудников

  • Стороннее ПО (за исключением случаев, связанных с уязвимостями, вызванными ошибками в настройках или патчах)

Защита от угроз

Мы обеспечиваем полную защиту от угроз согласно core-terms-GLOBAL от disclose.io.

Безопасность — это основа наших ценностей, и мы ценим действия этичных хакеров, помогающих нам поддерживать высокий уровень защищенности и приватности наших пользователей, в том числе за счет ответственного поиска уязвимостей и разглашения соответствующих фактов. Данная политика устанавливает наше определение этичности в контексте поиска и уведомления об уязвимостях, а также определяет наши ответные действия.

Ожидания

Сотрудничая с нами в рамках данной политики, вы можете ожидать от нас:

  • расширенной защиты для вашего исследования на предмет уязвимостей, проводящегося в связи с данной политикой;

  • сотрудничества с целью изучения и оценки вашего сообщения, в том числе своевременного извещения о получении вашего материала;

  • своевременного устранения найденных уязвимостей; и

  • признания вашего вклада в повышение безопасности наших продуктов, если найденные вами уязвимости окажутся уникальными, а ваше сообщение приведет к изменению программного кода или настроек наших продуктов.

Основные правила

Чтобы избежать путаницы между этичным хакингом и вредоносной атакой, а также в рамках организации работы по поиску уязвимостей мы просим вас:

  • Соблюдать правила, в том числе данную политику и любые другие релевантные соглашения. В случае несоответствия положений данной политики положениям других релевантных соглашений приоритет остается за данной политикой.

  • Своевременно сообщаться о любых найденных уязвимостях.

  • Не нарушать приватность других пользователей, не нарушать работу наших систем, не уничтожать данные и не ухудшать пользовательский опыт.

  • Использовать для обсуждения с нами информации об уязвимостях только официальные каналы.

  • Не распространять сведения о найденных уязвимостях до момента их устранения, как того требует политика неразглашения.

  • Проводить тестирование только тех систем, которые входят в фокус данной программы, и не тестировать системы и действия, не входящие в фокус данной программы.

  • Если уязвимость открывает непреднамеренный доступ к данным:

    • ограничить объем данных, к которому был получен доступ, минимально необходимым для доказательства наличия уязвимости; и

    • прекратить тестирование и немедленно сообщить о найденной уязвимости, если в процессе тестирования вы получите доступ к любым пользовательским данным, в том числе к сведениям, позволяющим установить личность пользователя (PII), личным медицинским данным (PHI), данным банковских карт или иной проприетарной информации;

  • Использовать для тестирования только принадлежащие вам учетные записи или учетные записи других лиц, предоставших вам соответствующее и явно выраженное разрешение.

  • Не заниматься вымогательством и шантажом.

Соглашение о защите от угроз

Мы рассматриваем исследование на предмет наличия уязвимостей, проводимое в рамках данной политики, как отвечающее следующим критериям:

  • оно не противоречит любым актуальным законам о противодействии хакерству, при этом мы не подадим на вас в суд за случайные и обоснованные нарушения данной политики;

  • оно не противоречит любым актуальным законам, запрещающим использование обходных путей, при этом мы не подадим на вас в суд за обход использованных технологий управления;

  • оно освобождено от ограничений, описанных в Политике приемлемого использования, которые могут затруднить проведения исследования, при этом мы ограниченным образом избавляем вас от необходимости соблюдать эти ограничения; и

  • оно проводится с добрыми намерениями и помогает сделать Интернет безопаснее.

Мы ожидаем, что вы будете соблюдать все актуальные законы. Если третьев стороной против вас будет подан судебный иск, и вы действовали в рамках данной политики, то мы примем меры к тому, чтобы сообщить о том, что вы действовали в рамках данной политики.

Если у вас остались вопросы, а также если вы не уверены, соответствует ли ваше исследование данной политике, пожалуйста, отправьте нам отчет через любой из наших официальных каналов и не продолжайте работу, пока не получите от нас ответ.

Единовременная премия в размере 100 000 долларов США

Мы создали новую серверную технологию TrustedServer, которая значительно повысила уровень безопасности наших VPN-серверов и их устойчивость к отказу. Мы уверены в этой новой системе и стремимся к тому, чтобы наши VPN-серверы соответствовали нашим ожиданиям в плане безопасности.

В связи с этим мы просим исследователей сосредоточить свое внимание на тестировании следующих проблем безопасности, связанных с VPN-серверами:

  • несанкционированный доступ к VPN-серверу или удаленное выполнение кода;

  • уязвимости в нашем VPN-сервере, которые приводят к утечке настоящих IP-адресов наших пользователей или возможности отслеживать пользовательский трафик.

От претендентов на это вознаграждение мы ожидаем доказательств нарушения конфиденциальности наших пользователей. Для этого необходимо продемонстрировать несанкционированный доступ, удаленное выполнение кода, утечку IP-адресов или возможность отслеживания незашифрованного VPN-сетью пользовательского трафика.

Для большей привлекательности мы предлагаем вознаграждение: первый, кто представит подтвержденную уязвимость, получит дополнительную премию в размере 100 000 долларов США. Это предложение будет в силе до тех пор, пока приз не будет востребован.

Область применения

Технология TrustedServer используется для всех протоколов, которые мы предлагаем нашим пользователям, поэтому все наши VPN-серверы охвачены этой программой. 

Пожалуйста, убедитесь, что ваше тестирование не выходит за рамки программы. Например, используемые нами панели администраторов для дата-центров не входят в сферу действия программы, поскольку они не принадлежат ExpressVPN и не управляются нашей компанией. Если вы не уверены, что ваше тестирование входит в фокус программы, пожалуйста, свяжитесь с support@bugcrowd.com для уточнения. Если будет обнаружено, что ваше тестирование проводилось вне рамок программы, то вы не сможете претендовать на вознаграждение, и мы оставляем за собой право немедленно исключить такого исследователя из программы.

Исключения

Мы стремимся к тому, чтобы все тестирования проходили в равных условиях. В связи с этим следующие лица не имеют права претендовать на премию:

  • сотрудники ExpressVPN или любой другой дочерней компании Kape Technologies, работающие полный или неполный рабочий день, а также их друзья и члены семьи;

  • подрядчики, консультанты, представители, поставщики, продавцы или любые другие лица, связанные тем или иным образом с ExpressVPN.

Как отправить отчёт

Мы призываем исследователей отправлять отчеты через Bugcrowd. Также мы принимаем сообщения, отправленные на электронный адрес security@expressvpn.com.

Пожалуйста, обратите внимание: ExpressVPN использует Bugcrowd для управления всеми программами, предусматривающими выплату вознаграждения за поиск багов. Получив отчет, отправленный по электронной почте, мы предоставим ваш электронный адрес и содержимое отчета платформе Bugcrowd в рамках процедур по оценке приоритетности, даже если сами вы не используете эту платформу.

Узнайте, кто уже получил вознаграждение в рамках нашей программы по поиску багов.