ExpressVPN yazılım hatası bulma programı

ExpressVPN binlerce VPN sunucusuna sahiptir ve tüm büyük işletim sistemleri, yönlendiriciler ve tarayıcı uzantıları için platformlar arası VPN uygulamaları yapar.

ExpressVPN, uygulamalarının ve hizmetlerinin güvenliğini ciddiye alır. Yıllardır şirket içi yazılım hatası bulma programını sunmaktayız ve bugüne kadar güvenlik araştırmacılarına on binlerce dolar ödül verdik. Mükemmel mühendisliğe değer veriyoruz, bu sebeple ürün ve hizmetlerimizin güvenliğini her zaman iyileştirmenin yollarını arıyoruz.

Yazılım hatası bulma programımızla ödül kazanın.

Hedef bilgisi

Kapsam

Aşağıdaki ürün ve hizmetler kapsam dahilindedir.

  • VPN sunucuları

  • ExpressVPN iOS uygulaması

  • ExpressVPN Android uygulaması

  • ExpressVPN Linux uygulaması

  • ExpressVPN macOS uygulaması

  • ExpressVPN Windows uygulaması

  • ExpressVPN router uygulaması

  • ExpressVPN Firefox uzantısı

  • ExpressVPN Chrome uzantısı

  • MediaStreamer DNS sunucuları

  • ExpressVPN API'leri

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Yukarıdakilere ek olarak şunlar da kapsamdadır:

  • şirket içi sistemler; ör. çalışan e-postaları, şirket içi yazışmalar, hosting kaynak kodu,

  • çalışanlarımızın mahremiyetini tehlikeye atan herhangi bir güvenlik açığı.

Odak

Özellikle şu konularla ilgileniyoruz:

  • Özellikle ayrıcalık yükselmesine neden olanlar dahil, istemci uygulamalarımızdaki güvenlik açıkları

  • VPN sunucularımıza her türlü yetkisiz erişim,

  • Müşteri verilerimizi yetkisiz kişilere gösteren güvenlik açıkları,

  • VPN ürünlerimizi kullanan birinin trafiğini açığa çıkaracak şekilde VPN iletişimimizi zayıflatan, bozan veya başka şekilde zarara uğratan güvenlik açıkları.

Bunlara ek olarak, yukarıdaki listede yer almayan, fakat ExpressVPN'in sahip olduğu veya işlettiği genel erişimli herhangi bir ana bilgisayar, duruma göre kapsam dahilinde değerlendirilebilir.

Tüm ExpressVPN özelliklerinin buna dahil olduğu düşünülebilir. Bununla birlikte, belirli test metodolojileri hariç tutulmuştur. Özellikle, hizmet kalitesini düşüren testler (örn. DoS veya spam) kapsam dahilinde değildir.

Kapsam Dışı

  • Uygulamalarımızın alfa ve beta sürümleri

  • Sosyal mühendislik (örn. Kimlik avı)

  • Ofislerimizin, sunucularımızın ve çalışanlarımızın fiziksel güvenliği

  • Üçüncü taraf yazılımlar (yanlış yapılandırma veya paket sürümü nedeniyle kötüye kullanılabilecek bir güvenlik açığının olduğu durumlar hariç)

Güvenli liman

disclose.io’nun core-terms-GLOBAL ilkeleri uyarınca tam güvenli liman sağlıyoruz.

Güvenlik, temel ilkelerimizdendir; bu sebeple kullanıcılarımızın güvenlik ve gizliliği için yüksek bir standart sağlamamıza yardımcı olmak amacıyla iyi niyetle hareket eden bilgisayar korsanlarının katkılarını önemsiyoruz. Buna, sorumlu güvenlik açığı araştırmasını ve ifşasını teşvik etmek dahildir. Bu politika, güvenlik açıklarını bulma ve raporlama bağlamında iyi niyeti nasıl tanımladığımızı ve karşılığında bizden neler bekleyebileceğinizi ortaya koymaktadır.

Beklentiler

Bu politika bağlamında bizimle çalışırken bizden şunları yapmamızı bekleyebilirsiniz:

  • Bu politikayla ilgili güvenlik açığı araştırmanız için güvenli limanı genişletmek;

  • Başvuruya hızlı şekilde ilk cevabımızı vermek dahil olmak üzere raporunuzu anlamak ve doğrulamak için sizinle birlikte çalışmak;

  • Keşfedilen güvenlik açıklarını hızlıca düzeltmek için çalışmak ve

  • Özgün güvenlik açığını ilk bildiren sizseniz ve raporunuz bir kod veya yapılandırma değişikliğine yol açarsa, güvenliğimizi geliştirmeye olan katkınızı tanımak.

Temel Kurallar

Güvenlik açığı araştırmasını teşvik etmek ve iyi niyetli bilgisayar korsanlığı ile kötü niyetli saldırı arasındaki karmaşayı önlemek için aşağıdaki kurallara uymanızı rica ederiz.

  • Oyunu kuralına göre oynayın. Buna, bu politika ve diğer ilgili sözleşmeler de dahildir. Bu politika ile ilgili diğer hükümler arasında herhangi bir tutarsızlık varsa bu politikanın hükümleri geçerli olacaktır.

  • Bulduğunuz herhangi bir güvenlik açığını derhal bildirin.

  • Başkalarının gizliliğini ihlal etmekten, sistemlerimizi bozmaktan, verileri yok etmekten ve/ya kullanıcı deneyimine zarar vermekten kaçının.

  • Güvenlik açığı bilgilerini bizimle konuşmak için yalnızca resmi kanalları kullanın.

  • İfşa politikasına göre, tespit edilen güvenlik açığı bilgilerinin hepsini bunlar giderilene kadar gizli tutun.

  • Yalnızca kapsam dahilindeki sistemlerde test yapın ve kapsam dışı tutulan sistemlere ve faaliyetlere saygı duyun.

  • Bir güvenlik açığı, verilere istenmeyen erişim sağlıyorsa:

    • Eriştiğiniz veri miktarını, Kavram Kanıtı'nı göstermeye yetecek kadar asgari düzeyde tutun; ve

    • Test sırasında kişisel kimlik bilgileri (KKB), kişisel sağlık bilgileri (KSB), kredi kartı verileri veya özel bilgiler gibi bir kullanıcı verisiyle karşılaşırsanız testi durdurun ve derhal bir rapor gönderin;

  • Yalnızca sahibi olduğunuz test hesaplarıyla veya hesap sahibinin açık izni ile etkileşimde bulunun.

  • Şantaj yapmayın.

Güvenli liman sözleşmesi

Bu politika bağlamında güvenlik açığı araştırması yaparken, araştırmanın şunlara uygun olmasını bekliyoruz:

  • Yürürlükteki bilgisayar korsanlığı önleme yasalarına uygun olması; bu politikanın hata sonucu ve iyi niyetle ihlal edilmesi durumunda size karşı yasal işlem başlatmayacak veya bir şekilde başlatılırsa bunları desteklemeyeceğiz,

  • İlgili atlatma önleme yasalarına uygun olması; teknoloji kontrollerini atlattığınız için size karşı bir dava açmayacağız,

  • Güvenlik araştırması yapmayı engelleyecek Kabul Edilebilir Kullanım Politikamızdaki kısıtlamalardan hariç tutulması; Bu kısıtlamalardan belirli bir oranda feragat ediyoruz, ve

  • Yasal olması, internetin genel güvenliğine yardımcı olması ve iyi niyet içermesi.

Her zaman olduğu gibi, yürürlükteki tüm yasalara uymanız beklenir. Üçüncü bir şahıs tarafından aleyhinizde yasal işlem başlatılırsa ve siz bu politikaya uygun hareket ettiyseniz eylemlerinizin bu politikaya uygun şekilde yürütüldüğünü bildirmek için gerekli adımları atacağız.

Herhangi bir aşamada endişeleriniz varsa veya güvenlik araştırmanızın bu politikayla tutarlı olup olmadığından emin değilseniz daha fazla ilerlemeden önce lütfen resmi kanallarımızdan biri aracılığıyla bir rapor gönderin.

Tek seferlik US$100.000 bonus ödül

Sunucularımızın güvenlik durumunu önemli ölçüde geliştiren TrustedServer adlı bir sistem sayesinde VPN sunucularımızı güvenli ve dirençli olmaları için tasarladık. Bu alandaki çalışmamızda kendimize güveniyoruz ve VPN sunucularımızın güvenlik beklentilerimizle uyuşmasını sağlamayı hedefliyoruz.

Bu bakımdan, araştırmacılarımızı VPN sunucularımızda aşağıdaki türden güvenlik sorunlarını test etmeye odaklanmaya davet ediyoruz:

  • bir VPN sunucusuna yetkisiz erişim veya uzaktan kod çalıştırma

  • VPN sunucumuzda müşterilerin gerçek IP adreslerinin sızmasına neden olan açıklar veya kullanıcı trafiğini takip edebilme

Bu ödülü alabilmeniz için kullanıcılarımızın gizliliğine etkisinin kanıtı gerekmektedir. Bunun için yetkisiz erişim, uzaktan kod çalıştırma, IP adresi sızıntısı veya şifrelenmemiş (VPN dışı şifrelenmiş) kullanıcı trafiğini takip edebilmenin ispatı gerekecektir.

Bu meydan okumayı daha cazip kılmak için şu bonusu sunuyoruz: Geçerli bir açık sunan ilk kişi ek olarak US$100.000 bonus ödül alacak. Bu bonus, ödül alınana kadar geçerli olacaktır.

Kapsamı

TrustedServer'ı kullanıcılarımıza sunduğumuz tüm protokoller için bir platform olarak kullanıyoruz, bu nedenle tüm VPN sunucularımız bu kapsama dahildir.

Lütfen aktivitelerinizin bu programın kapsamı içinde kaldığından emin olun. Örneğin, kullandığımız veri merkezi hizmetleri için yönetici panelleri bu kapsamın dışındadır çünkü bu paneller ExpressVPN'e ait değildir ve ExpressVPN tarafından sunulmamakta ve işletilmemektedir. Gerçekleştirdiğiniz testin kapsam içinde olup olmadığından emin değilseniz lütfen önce doğrulamak için support@bugcrowd.com adresinden bize ulaşın. Kapsamın dışında bir test gerçekleştirdiği tespit edilen bir araştırmacı ödül alma hakkını kaybedecektir ve bu kişiyi programdan anında çıkarma hakkını saklı tutarız.

Ödül alma hakkı olmayan kişiler

Meydan okumamızı eşit şartlarda sağlamak için çalışıyoruz. Bu nedenle, aşağıdaki kişilerin ilk kritik bulgu için bonus ödülü alma hakkı bulunmamaktadır:

  • ExpressVPN'in veya Kape Technologies'in diğer alt kuruluşlarının tam zamanlı veya yarı zamanlı çalışanlarının yanı sıra arkadaşları ve aile üyeleri; ve

  • ExpressVPN'e bağlı veya diğer türlerde ilişkisi bulunan sözleşmeli çalışanlar, danışmanlar, temsilciler, tedarikçiler, bayiler veya diğer tüm kişiler.

Rapor nasıl gönderilir

Araştırmacılar raporlarını Bugcrowd üzerinden sunmalıdır. Alternatif olarak, security@expressvpn.com adresine e-posta ile gönderilen gönderimleri de kabul ediyoruz.

Lütfen dikkat: ExpressVPN, yazılım hatası bulma programlarını yönetmek için Bugcrowd'u kullanır. E-posta yoluyla rapor gönderdiğinizde önceliklendirme amacıyla e-posta adresinizi ve içeriği, platformun bir üyesi olmasanız bile, Bugcrowd ile paylaşırız.

Yazılım hatası bulma programımızda kimlerin ödüllendirildiğini öğrenin.