ExpressVPNs bug bounty-program

ExpressVPN drifter tusenvis av VPN-servere og lager VPN-apper på tvers av plattformer for alle store operativsystemer samt rutere og nettleserutvidelser.

ExpressVPN tar sikkerheten til sine programmer og tjenester på alvor. Vi har tilbudt et internt bug bounty-program i årevis, og har belønnet sikkerhetsforskere med titusenvis av dollar. Vi ser verdien av utmerket programmering og er alltid på utkikk etter nye måter å forbedre sikkerheten til våre produkter og tjenester.

Få belønninger med vår bug bounty program.

Målinformasjon

Omfang

Programmet omfatter følgende produkter og tjenester:

  • VPN-servere

  • ExpressVPNs iOS-app

  • ExpressVPNs Android-app

  • ExpressVPNs Linux-app

  • ExpressVPNs macOS-app

  • ExpressVPNs Windows-app

  • ExpressVPNs ruter-app

  • ExpressVPNs Firefox-utvidelse

  • ExpressVPNs Chrome-utvidelse

  • MediaStreamer DNS-servere

  • ExpressVPNs APIer

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Foruten listen ovenfor, er disse ressursene også inkludert i programmet:

  • interne systemer, f.eks. ansattes e-post, interne chat-meldinger, drift av kildekode,

  • ethvert sikkerhetsproblem som kompromitterer personvernet til våre ansatte.

Fokus

Vi er spesielt interessert i:

  • sårbarheter i våre klientprogrammer, spesielt sikkerhetsproblemer som fører til eskalering av rettigheter,

  • enhver type uautorisert tilgang til våre VPN-servere,

  • sikkerhetsproblemer som viser våre kundedata til uautoriserte personer,

  • sårbarheter som reduserer, bryter eller på annen måte undergraver vår VPN-kommunikasjon på en måte som eksponerer trafikken til personer som bruker våre VPN-produkter.

Enhver offentlig tilgjengelig vert som eies eller driftes av ExpressVPN som ikke er på listen over, kan betraktes som innenfor omfanget i hvert enkelt tilfelle.

Alle ExpressVPN-eiendeler kan betraktes som innenfor omfanget. Enkelte testmetodologier er imidlertid ekskludert. Mer spesifikt vil tester som reduserer kvaliteten på tjenesten, f.eks. DoS eller spam, ikke bli tatt med.

Offentlige betaversjoner av applikasjonene våre er også i omfang. Du kan få dem via vår betatesterside.

Utenfor omfang

  • Alfaversjoner av våre applikasjoner

  • Sosial manipulering (f.eks. phishing)

  • Den fysiske sikkerheten til våre kontorer, servere og ansatte

  • Programvarer fra tredjeparter (med unntak av tilfeller der det er en utnyttbar sårbarhet grunnet feilkonfigurasjon eller oppdateringsnivå)

Safe harbor

Vi gir full safe harbor i henhold til disclose.io sine core-terms-GLOBAL.

Sikkerhet er kjernen i våre verdier, og vi verdsetter tilbakemeldingene fra hackere som handler i god tro for å hjelpe oss med å opprettholde en høy standard for sikkerhet og personvern for våre brukere. Dette inkluderer å oppfordre til ansvarlig sårbarhetsforskning og rapportering. Denne policyen beskriver vår definisjon av god tro i forbindelse med å finne og rapportere sikkerhetsproblemer samt hva du kan forvente av oss i retur.

Forventninger

Når du samarbeider med oss i henhold til denne policyen, kan du forvente at vi:

  • gir safe harbor for din sårbarhetsforskning som er relatert til denne policyen;

  • samarbeider med deg for å forstå og validere rapporten din, herunder første svar til innsendingen innen rimelig tid;

  • jobber for å utbedre oppdagede sårbarheter innen rimelig tid; og

  • anerkjenner ditt bidrag til å forbedre sikkerheten vår hvis du er den første til å rapportere en unik sårbarhet og rapporten din fører til en kode- eller konfigurasjonsendring.

Grunnregler

For å oppfordre til sårbarhetsforskning og for å unngå forvirring mellom hacking i god tro og ondsinnet angrep, ber vi om følgende fra deg.

  • Følg spillereglene. Dette inkluderer å følge denne policyen samt enhver annen relevant avtale. Hvis det er inkonsekvenser mellom denne policyen og andre relevante vilkår, vil vilkårene i denne policyen være gjeldende.

  • Rapporter alle sårbarheter du oppdager så snart som mulig.

  • Unngå å bryte andres personvern, forstyrre våre systemer, ødelegge data, og/eller skade brukeropplevelsen.

  • Bruk kun offisielle kanaler for å diskutere sårbarhetsinformasjon med oss.

  • Hold detaljene om oppdagede sårbarheter hemmelig til de er rettet, i henhold til rapporteringspolicyen.

  • Utfør testing kun på systemer i omfanget, og respekter systemer og aktiviteter som er utenfor omfanget.

  • Hvis en sårbarhet gir utilsiktet tilgang til data:

    • begrens mengden data du åpner til et minimum som kreves for å demonstrere konseptutprøving på en effektiv måte; og

    • avslutt testingen og send en rapport umiddelbart hvis du oppdager noe brukerdata under testing, for eksempel personlig identifiserbar informasjon (PII), personlig helseinformasjon(PHI), kredittkortopplysninger eller proprietær informasjon;

  • Du skal bare samhandle med testkontoer du eier eller med eksplisitt tillatelse fra kontoinnehaveren.

  • Ikke delta i utpressing.

Avtale om safe harbor

Når du utfører sårbarhetsforskning i samsvar med denne policyen, anser vi denne forskningen som utføres under denne policyen å være:

  • autorisert med hensyn til enhver gjeldende lover mot hacking, og vi vil ikke iverksette eller støtte rettslige skritt mot deg for utilsiktede brudd på denne policyen;

  • autorisert med hensyn til relevante lover mot omgåelse, og vi vil ikke reise et krav mot deg for omgåelse av teknologikontroller;

  • unntatt restriksjoner i vår Policy for akseptabel bruk, som kan forstyrre utførelsen av sårbarhetsforskningen, og vi frafaller disse restriksjonene på et begrenset grunnlag; og

  • lovlig, hjelpsom for den generelle internett-sikkerheten, og utført i god tro.

Som alltid forventes det at du overholder alle gjelende lover. Hvis rettslige skritt iverksettes av en tredjepart mot deg og du har overholdt denne policyen, vil vi iverksette tiltak for å gjøre det kjent at dine handlinger ble utført i samsvar med denne policyen.

Hvis du når som helst skulle ha bekymringer eller er usikker på om sårbarhetsforskningen din er i samsvar med denne policyen, kan du sende en rapport gjennom en av våre offisielle kanaler før du går videre.

Engangs bonusbelønning på US$100 000

Vi har designet VPN-serverne våre til å være sikre og motstandsdyktige med et system kalt TrustedServer, som forbedrer sikkerhetsposisjonen til serverne våre dramatisk. Vi er sikre på arbeidet vårt i dette området, og har som mål å sørge for at VPN-serverne våre møter sikkerhetsforventningene våre.

Derfor inviterer vi undersøkerne våre til å fokusere testingen på de følgende typene sikkerhetsspørsmål i VPN-serverne våre:

  • Uautorisert tilgang til en VPN-server eller ekstern kodekjøring

  • Sårbarheter i VPN-serveren vår som resulterer i lekkasje av de virkelige IP-adressene til klientene eller muligheten til å overvåke brukernes trafikk

For å kvalifisere til å heve denne dusøren, vil vi kreve bevis for påvirkning av brukernes personvern. Dette vil kreve demonstrasjon av uautorisert tilgang, ekstern kodekjøring, IP-adresselekkasje eller muligheten til å overvåke ukryptert (ikke-VPN-kryptert) brukertrafikk.

For å gjøre denne utfordringen mer interessant, introduserer vi følgende bonus: Den første personen til å presentere en gyldig sårbarhet vil motta en ekstra dusørbonus på US$100 000. Denne bonusen vil være gyldig til premien har blitt hevet.

Prosjektrammer

Vi bruker TrustedServer som en plattform for alle protokollene vi tilbyr brukerne våre, så alle VPN-serverne våre regnes som innenfor rammene.

Sørg for at aktivitetene dine forblir innenfor programmets rammer. For eksempel er admin-paneler for datasentertjenestene vi benytter utenfor rammene for de de ikke eies, driftes eller opereres av ExpressVPN. Hvis du er usikker på om testingen regnes for å være innenfor rammene, ta kontakt med support@bugcrowd.com for å bekrefte det først. En undersøker som tester utenfor rammene vil ikke være kvalifisert for en belønning, og vi vil forbeholde oss retten til å fjerne individet fra programmet umiddelbart.

Ekskluderinger

Vi ønsker å sørge for at alle utfordringene våre skjer på like vilkår. Derfor er de følgende personene ikke kvalifisert for å heve bonusen for det første kritiske funnet:

  • Fulltids- eller deltidsansatte hos ExpressVPN eller noen andre datterselskaper av Kape Technologies, så vel som deres venner og familie; og

  • entreprenører, konsulenter, representanter, leverandører, selgere eller andre personer relatert til eller på annen måte tilknyttet ExpressVPN.

Hvordan sende inn en rapport

Forskere kan sende inn sine rapporter gjennom Bugcrowd. Alternativt aksepterer vi også innsendinger via e-post til security@expressvpn.com.

Vennligst merk: EkspressVPN bruker Bugcrowd for å administrere alle bug bounty-programmer. Innsendinger via e-post betyr at vi vil dele e-postadressen din og e-postens innhold med Bugcrowd i forbindelse med sortering, selv om du ikke er et medlem på plattformen.

Finn ut hvem som har fått belønning i vårt bug bounty-program.