โปรแกรม Bug Bounty ของ ExpressVPN

ExpressVPN ดำเนินการเซิร์ฟเวอร์ VPN จำนวนหลายพันและสร้างแอปพลิเคชัน VPN บนแพลตฟอร์มต่าง ๆ สำหรับระบบปฏิบัติการหลักทั้งหมดรวมถึงเราเตอร์และส่วนขยายของเบราว์เซอร์

ExpressVPN ให้ความสำคัญกับความปลอดภัยของแอปพลิเคชันและบริการอย่างจริงจัง เราได้เสนอโปรแกรม Bug Bounty ในองค์กรมาหลายปีแล้ว และได้มอบเงินรางวัลให้กับนักวิจัยด้านความปลอดภัยหลายหมื่นดอลลาร์ นอกจากนี้เรายังให้ความสำคัญกับวิศวกรรมที่ยอดเยี่ยมและมองหาวิธีปรับปรุงความปลอดภัยของผลิตภัณฑ์และบริการของเราอยู่เสมอ

Get rewards with our bug bounty program.

ข้อมูลเป้าหมาย

ขอบเขต

ผลิตภัณฑ์และบริการต่อไปนี้อยู่ในขอบเขต:

  • เซิร์ฟเวอร์ VPN

  • แอปพลิเคชัน ExpressVPN iOS

  • แอปพลิเคชัน ExpressVPN Android

  • แอปพลิเคชัน ExpressVPN Linux

  • แอปพลิเคชัน ExpressVPN macOS

  • แอปพลิเคชัน ExpressVPN Windows

  • แอปพลิเคชัน ExpressVPN เราเตอร์

  • ส่วนขยาย ExpressVPN Firefox

  • ส่วนขยาย ExpressVPN Chrome

  • เซิร์ฟเวอร์ MediaStreamer DNS

  • ExpressVPN API

  • expressvpn.com

  • * .expressvpn.com

  • * .xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

เช่นเดียวกับทรัพย์สินที่ระบุไว้ข้างต้นยังอยู่ในขอบเขต:

  • ระบบภายในเช่น อีเมลของพนักงาน ข้อความแชทภายใน การโฮสต์ซอร์สโค้ด

  • ช่องโหว่ใด ๆ ที่ทำลายความเป็นส่วนตัวของพนักงานของเรา

โฟกัส

เราสนใจเป็นพิเศษใน:

  • ช่องโหว่ในแอปพลิเคชันไคลเอนต์ของเราโดยเฉพาะช่องโหว่ที่นำไปสู่การยกระดับสิทธิ์

  • การเข้าถึงที่ไม่ได้รับอนุญาตทุกประเภทบนเซิร์ฟเวอร์ VPN ของเรา

  • ช่องโหว่ที่เปิดเผยข้อมูลลูกค้าของเราต่อบุคคลที่ไม่ได้รับอนุญาต

  • ช่องโหว่ที่ทำให้อ่อนแอ ทำลาย หรือล้มล้างการสื่อสาร VPN ของเราในลักษณะที่เปิดเผยปริมาณการใช้งานของทุกคนที่ใช้ผลิตภัณฑ์ VPN ของเรา

นอกจากนี้โฮสต์ที่สามารถเข้าถึงได้แบบสาธารณะซึ่งเป็นเจ้าของหรือดำเนินการโดย ExpressVPN ที่ไม่อยู่ในรายการข้างต้นอาจได้รับการพิจารณาในขอบเขตเป็นกรณี ๆ ไป

สามารถพิจารณาคุณสมบัติ ExpressVPN ทั้งหมดได้ อย่างไรก็ตามไม่รวมวิธีการทดสอบบางอย่าง โดยเฉพาะอย่างยิ่งการทดสอบที่ลดคุณภาพของบริการเช่น DoS หรือสแปมจะไม่ได้รับการพิจารณาให้รวมเข้าด้วยกัน

นอกเหนือขอบเขต

  • แอปพลิเคชันของเรา เวอร์ชันอัลฟ่าและเบต้า

  • วิศวกรรมสังคม (เช่น ฟิชชิง)

  • ความปลอดภัยทางกายภาพของสำนักงานเซิร์ฟเวอร์และพนักงานของเรา

  • ซอฟต์แวร์ของบริษัทอื่น (ยกเว้นในกรณีที่มีช่องโหว่ที่ใช้ประโยชน์ได้ เนื่องจากการกำหนดค่าผิดพลาดหรือระดับการแก้ไข)


พื้นที่ปลอดภัย

เราจัดให้มีพื้นที่ปลอดภัยเต็มรูปแบบตามข้อกำหนดหลักระดับโลกของ disclose.io

การรักษาความปลอดภัยเป็นหัวใจสำคัญของค่านิยมของเรา และเราให้ความสำคัญกับข้อมูลของแฮกเกอร์ที่ทำหน้าที่โดยสุจริตเพื่อช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวสำหรับผู้ใช้ของเรา ซึ่งรวมถึงการสนับสนุนให้มีการวิจัยและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ นโยบายนี้กำหนดคำจำกัดความของความเชื่อที่ดีในบริบทของการค้นหาและรายงานช่องโหว่ตลอดจนสิ่งที่คุณคาดหวังจากเราในทางกลับกัน

ความคาดหวัง

เมื่อทำงานร่วมกับเราตามนโยบายนี้คุณสามารถคาดหวังให้เรา:

  • ขยายขอบเขตที่ปลอดภัยสำหรับการวิจัยช่องโหว่ของคุณที่เกี่ยวข้องกับนโยบายนี้

  • ทำงานร่วมกับคุณเพื่อทำความเข้าใจและตรวจสอบความถูกต้องของรายงานของคุณ รวมถึงการตอบกลับเบื้องต้นในเวลาที่เหมาะสม

  • ดำเนินการแก้ไขช่องโหว่ที่ค้นพบในเวลาที่เหมาะสม และ

  • ตระหนักถึงการมีส่วนร่วมของคุณในการปรับปรุงความปลอดภัยของเรา หากคุณเป็นคนแรกที่รายงานช่องโหว่ที่ไม่ซ้ำใครและรายงานของคุณทำให้เกิดการเปลี่ยนแปลงรหัสหรือการกำหนดค่า

กฎพื้นฐาน

เพื่อสนับสนุนการวิจัยเกี่ยวกับช่องโหว่และเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตและการโจมตีที่เป็นอันตราย เราขอสิ่งต่อไปนี้จากคุณ

  • เล่นตามกฎ ซึ่งรวมถึงการปฏิบัติตามนโยบายนี้ตลอดจนข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่เกี่ยวข้องข้อกำหนดของนโยบายนี้จะมีผลเหนือกว่า

  • รายงานช่องโหว่ที่คุณค้นพบโดยทันที

  • หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น รบกวนระบบของเรา ทำลายข้อมูลและ / หรือทำร้ายประสบการณ์ของผู้ใช้

  • ใช้เฉพาะช่องทางการเพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา

  • เก็บรายละเอียดของช่องโหว่ที่ค้นพบไว้เป็นความลับจนกว่าจะได้รับการแก้ไขตามนโยบายการเปิดเผยข้อมูล

  • ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขตและเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต

  • หากช่องโหว่ให้การเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ:

    • จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการแสดงหลักฐานแนวคิดอย่างมีประสิทธิภาพ และ

    • หยุดการทดสอบและส่งรายงานทันทีหากคุณพบข้อมูลผู้ใช้ใด ๆ ในระหว่างการทดสอบเช่น ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิตหรือข้อมูลที่เป็นกรรมสิทธิ์

  • คุณควรโต้ตอบกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดเจนจากเจ้าของบัญชี

  • ห้ามมีส่วนร่วมในการขู่กรรโชก

ข้อตกลงพื้นที่ปลอดภัย

เมื่อทำการวิจัยช่องโหว่ตามนโยบายนี้ เราถือว่างานวิจัยนี้ดำเนินการภายใต้นโยบายนี้เพื่อ:

  • ได้รับอนุญาตตามกฎหมายต่อต้านการแฮ็กที่เกี่ยวข้อง และเราจะไม่ดำเนินการหรือสนับสนุนการดำเนินการทางกฎหมายกับคุณสำหรับการละเมิดนโยบายนี้โดยไม่ได้ตั้งใจและโดยสุจริต

  • ได้รับอนุญาตตามกฎหมายต่อต้านการหลบเลี่ยงที่เกี่ยวข้องและเราจะไม่ยื่นข้อเรียกร้องต่อคุณสำหรับการหลีกเลี่ยงการควบคุมเทคโนโลยี

  • ได้รับการยกเว้นจากข้อจำกัดในนโยบายการใช้งานที่ยอมรับได้ของเราซึ่งจะรบกวนการดำเนินการวิจัยด้านความปลอดภัย และเราสละข้อจำกัดเหล่านั้นอย่างจำกัด และ

  • ชอบด้วยกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ตและดำเนินการโดยสุจริต

คุณต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดเช่นเคย หากบุคคลที่สามเริ่มดำเนินการทางกฎหมายและคุณได้ปฏิบัติตามนโยบายนี้ เราจะดำเนินการเพื่อให้ทราบว่าการกระทำของคุณได้ดำเนินการตามนโยบายนี้

หากเมื่อใดก็ตามที่คุณมีข้อกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของคุณสอดคล้องกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านช่องทางที่เป็นทางการของเราก่อนดำเนินการใด ๆ


วิธีการส่งรายงาน

นักวิจัยควรส่งรายงานผ่าน Bugcrowd นอกจากนี้เรายังยอมรับการส่งทางอีเมลไปที่ security@expressvpn.com

โปรดทราบ: ExpressVPN ใช้ Bugcrowd เพื่อจัดการโปรแกรม bug bounty ทั้งหมด การส่งทางอีเมลหมายความว่าเราจะแชร์ที่อยู่อีเมลของคุณและแบ่งปันเนื้อหากับ Bugcrowd เพื่อจุดประสงค์ในการตรวจสอบข้อมูลแม้ว่าคุณจะไม่ได้เป็นสมาชิกของแพลตฟอร์มก็ตาม

ค้นหาผู้ที่ได้รับรางวัลในโปรแกรม bug bounty ของเรา