Если купите подписку прямо сейчас, то получите в подарок 30 дополнительных дней.

Программа поиска багов ExpressVPN

ExpressVPN управляет тысячами VPN-серверов и создаёт как кроссплатформенные VPN-приложения для всех основных операционных систем и роутеров, так и браузерные расширения.

ExpressVPN крайне серьёзно относится к вопросу безопасности этих приложений и не только. Наша компания уже многие годы предлагает всем желающим принять участие в программе поиска багов, более того — на данный момент мы выплатили десятки тысяч долларов вознаграждения принявшим в ней участие специалистам по кибербезопасности. Мы очень ценим компетентные мнения и всегда ищем новые способы сделать наши продукты и услуги еще более безопасными.

Баг под увеличительным стеклом.

Интересующие нас сведения

Цель

Целью данной программы являются следующие продукты и сервисы:

  • Серверы VPN

  • Приложение ExpressVPN для iOS 

  • Приложение ExpressVPN для Android 

  • Приложение ExpressVPN для Linux 

  • Приложение ExpressVPN для macOS 

  • Приложение ExpressVPN для Windows 

  • Приложение ExpressVPN для роутеров

  • Расширение ExpressVPN для Firefox

  • Расширение ExpressVPN для Chrome

  • DNS-серверы MediaStreamer 

  • ExpressVPN API

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Также программа поиска багов распространяется на:

  • внутренние системы, в том числе эл. почту сотрудников, мессенджеры для внутреннего общения, хостинг исходного кода,

  • любые уязвимости, ставящие под угрозу конфиденциальность наших сотрудников.

Особое внимание

Мы особенно заинтересованы в:

  • уязвимостях наших клиентских приложений, в частности в уязвимостях, обеспечивающих несанкционированный доступ того или иного уровня,

  • неавторизованном доступе к нашим VPN-серверам,

  • уязвимостях, открывающих неавторизованный доступ к данным наших клиентов посторонним,

  • уязвимостях, способных затруднить, нарушить или иным образом ухудшить работу наших VPN-систем, открыв доступ к трафику пользователей наших VPN-продуктов.

В зависимости от конкретного случая в фокус данной программы также могут входить любые общедоступные хосты, принадлежащие компании ExpressVPN или управляемые ей, но не перечисленные в списке выше.

Любая собственность ExpressVPN может считаться входящей в фокус данной программы. При этом определенные методы тестирования запрещены к применению — в частности, тесты, способные привести к нарушению качества услуг (DoS, спам).

В данную программу не входят

  • Альфа- и бета-версии наших приложений

  • Социальный инжиниринг (фишинг)

  • Вопросы физической безопасности наших офисов, серверов и сотрудников

  • Стороннее ПО (за исключением случаев, связанных с уязвимостями, вызванными ошибками в настройках или патчах)

Защита от угроз

Мы обеспечиваем полную защиту от угроз согласно core-terms-GLOBAL от disclose.io.

Безопасность — это основа наших ценностей, и мы ценим действия этичных хакеров, помогающих нам поддерживать высокий уровень защищенности и приватности наших пользователей, в том числе за счет ответственного поиска уязвимостей и разглашения соответствующих фактов. Данная политика устанавливает наше определение этичности в контексте поиска и уведомления об уязвимостях, а также определяет наши ответные действия.

Ожидания

Сотрудничая с нами в рамках данной политики, вы можете ожидать от нас:

  • расширенной защиты для вашего исследования на предмет уязвимостей, проводящегося в связи с данной политикой;

  • сотрудничества с целью изучения и оценки вашего сообщения, в том числе своевременного извещения о получении вашего материала;

  • своевременного устранения найденных уязвимостей; и

  • признания вашего вклада в повышение безопасности наших продуктов, если найденные вами уязвимости окажутся уникальными, а ваше сообщение приведет к изменению программного кода или настроек наших продуктов.

Основные правила

Чтобы избежать путаницы между этичным хакингом и вредоносной атакой, а также в рамках организации работы по поиску уязвимостей мы просим вас:

  • Соблюдать правила, в том числе данную политику и любые другие релевантные соглашения. В случае несоответствия положений данной политики положениям других релевантных соглашений приоритет остается за данной политикой.

  • Своевременно сообщаться о любых найденных уязвимостях.

  • Не нарушать приватность других пользователей, не нарушать работу наших систем, не уничтожать данные и не ухудшать пользовательский опыт.

  • Использовать для обсуждения с нами информации об уязвимостях только официальные каналы.

  • Не распространять сведения о найденных уязвимостях до момента их устранения, как того требует политика неразглашения.

  • Проводить тестирование только тех систем, которые входят в фокус данной программы, и не тестировать системы и действия, не входящие в фокус данной программы.

  • Если уязвимость открывает непреднамеренный доступ к данным:

    • ограничить объем данных, к которому был получен доступ, минимально необходимым для доказательства наличия уязвимости; и

    • прекратить тестирование и немедленно сообщить о найденной уязвимости, если в процессе тестирования вы получите доступ к любым пользовательским данным, в том числе к сведениям, позволяющим установить личность пользователя (PII), личным медицинским данным (PHI), данным банковских карт или иной проприетарной информации;

  • Использовать для тестирования только принадлежащие вам учетные записи или учетные записи других лиц, предоставших вам соответствующее и явно выраженное разрешение.

  • Не заниматься вымогательством и шантажом.

Соглашение о защите от угроз

Мы рассматриваем исследование на предмет наличия уязвимостей, проводимое в рамках данной политики, как отвечающее следующим критериям:

  • оно не противоречит любым актуальным законам о противодействии хакерству, при этом мы не подадим на вас в суд за случайные и обоснованные нарушения данной политики;

  • оно не противоречит любым актуальным законам, запрещающим использование обходных путей, при этом мы не подадим на вас в суд за обход использованных технологий управления;

  • оно освобождено от ограничений, описанных в Политике приемлемого использования, которые могут затруднить проведения исследования, при этом мы ограниченным образом избавляем вас от необходимости соблюдать эти ограничения; и

  • оно проводится с добрыми намерениями и помогает сделать Интернет безопаснее.

Мы ожидаем, что вы будете соблюдать все актуальные законы. Если третьев стороной против вас будет подан судебный иск, и вы действовали в рамках данной политики, то мы примем меры к тому, чтобы сообщить о том, что вы действовали в рамках данной политики.

Если у вас остались вопросы, а также если вы не уверены, соответствует ли ваше исследование данной политике, пожалуйста, отправьте нам отчет через любой из наших официальных каналов и не продолжайте работу, пока не получите от нас ответ.

Как отправить отчёт

Мы призываем исследователей отправлять отчеты через Bugcrowd. Также мы принимаем сообщения, отправленные на электронный адрес security@expressvpn.com.

Пожалуйста, обратите внимание: ExpressVPN использует Bugcrowd для управления всеми программами, предусматривающими выплату вознаграждения за поиск багов. Получив отчет, отправленный по электронной почте, мы предоставим ваш электронный адрес и содержимое отчета платформе Bugcrowd в рамках процедур по оценке приоритетности, даже если сами вы не используете эту платформу.

Узнайте, кто уже получил вознаграждение в рамках нашей программы по поиску багов.