ExpressVPN:n bug bounty -ohjelma

ExpressVPN ylläpitää tuhansia VPN-palvelimia ja kehittää monialustaisia VPN-sovelluksia kaikille tärkeimmille työpöytä- ja mobiilikäyttöjärjestelmille sekä reitittimiä ja selainlaajennuksia.

Turvallisuus on ydinarvomme, ja arvostamme hyvissä aikeissa toimivien hakkerien palautetta, joka auttaa meitä pitämään käyttäjiemme tietoturvan ja yksityisyyden korkealla tasolla. Tämä tarkoittaa muun muassa sitä, että kannustamme vastuullista haavoittuvuuksien etsintää ja raportointia.

Olemme jo vuosien ajan tarjonneet oman bug bounty -ohjelman ja maksaneet sinä aikana tuhansia dollareita turvallisuusasiantuntijoille. Arvostamme erinomaista tekniikkaa ja etsimme jatkuvasti uusia tapoja parantaa tuotteidemme ja palveluidemme tietoturvaa.

Hanki palkintoja bugipalkkio-ohjelmamme avulla.

Tietoja kohteesta

Kohteet

Ohjelman piiriin kuuluvat seuraavat tuotteet ja palvelut:

Painopiste

Olemme erityisen kiinnostuneita:

  • haavoittuvuksista asiakkaille tarkoitetuissa sovelluksissa: erityisesti haavoittuvuuksista, jotka johtavat eskalaatiohyökkäyksiin

  • kaikista mahdollisista luvattomista pääsyistä VPN-palvelimillemme

  • haavoittuvuuksista, jotka paljastavat asiakkaidemme tietoja asiattomille tahoille

  • haavoittuvuuksista, jotka heikentävät, katkaisevat tai muutoin vaikuttavat VPN-liikenteeseen niin, että kenen tahansa VPN-tuotteitamme käyttävien liikenne paljastuu.

Lisäksi kaikki julkisesti saavutettavissa olevat ExpressVPN:n omistamat tai operoimat internet-laitteet voidaan tapauskohtaisesti sisällyttää ohjelman piiriin.

Kaikkien ExpressVPN:n ominaisuuksien voidaan katsoa kuuluvan ohjelman piiriin. Tietyt testausmetodit on kuitenkin suljettu ulos. Erityisesti palvelun tasoa häiritseviä metodeja, kuten DoS-hyökkäyksiä tai roskapostia, ei hyväksytä.

Sovellustemme julkiset beta-versiot kuuluvat myös ohjelman piiriin. Pääset käyttämään niitä beta-testaamista käsittelevän sivumme kautta.

Kohteeseen eivät sisälly

Kaikki verkkotunnukset tai aliverkkotunnukset, joita ei ole lueteltu yllä olevassa Kohteet-listassa.



Safe harbor -turvasatama

Tarjoamme täyden turvasataman disclose.io:n core-terms-GLOBAL-tiedostoa noudattaen.

Turvallisuus on ydinarvomme, ja arvostamme hyvissä tarkoitusperissä toimivien hakkereiden panosta, joka auttaa meitä ylläpitämään käyttäjiemme korkean tason turvallisuutta ja yksityisyyttä. Näissä puitteissa rohkaisemme vastuulliseen haavoittuvuuksien etsimiseen ja niistä ilmoittamiseen. Tässä käytännössä määrittelemme, mitä tarkoitamme hyvissä tarkoitusperissä toimimisella mitä tulee haavoittuvuuksien etsimiseen ja niistä ilmoittamiseen, sekä sen, mitä voit odottaa meiltä vastineeksi työstäsi.

Odotukset

Kun työskentelet kanssamme tätä käytäntöä noudattaen, voit odottaa meiltä seuraavia asioita:

  • turvasatamakäytäntöä sovelletaan haavoittuvuustutkimukseesi, joka tapahtuu tämän käytännön puitteissa;

  • työskentelemme kanssasi, jotta ymmärrämme ja voimme vahvistaa raporttisi, ja vastaamme ilmoitukseesi nopeasti;

  • työskentelemme nopeasti korjataksemme löydetyt haavoittuvuudet; ja

  • tunnustamme panoksesi turvallisuutemme parantamiseen, jos raportoit uniikista haavoittuvuudesta ensimmäisenä, ja raporttisi johtaa muutokseen koodissa tai konfiguraatiossa.

Perussäännöt

Rohkaistaaksemme haavoittuvuustutkimusta ja välttääksemme sekaannuksia hyvissä tarkoitusperissä tehdyn hakkeroinnin ja pahantahtoisten iskujen välillä, pyydämme sinulta seuraavia asioita:

  • Noudata sääntöjä. Tähän sisältyy tämän käytännön noudattaminen sekä muiden olennaisten sopimusten seuraaminen. Jos tämän ja muiden olennaisten sääntöjen välillä on ristiriitoja, tämän käytännön säännöt pätevät.

  • Ilmoita kaikista löytämistäsi haavoittuvuuksista ripeästi.

  • Vältä muiden yksityisyyden loukkaamista, järjestelmiemme häiritsemistä, tiedon tuhoamista ja/tai käyttäjäkokemuksen huonontamista.

  • Käytä ainoastaan virallisia kanavia keskustellaksesi haavoittuvuustiedoista kanssamme.

  • Pidä kaikki löydettyihin haavoittuvuuksiin liittyvät tiedot ilmoituskäytäntöä noudattaen turvassa, kunnes haavoittuvuudet on korjattu.

  • Tee testauksia ainoastaan kohteeksi rajatuissa järjestelmissä, ja kunnioita järjestelmiä ja toimintaa, jotka eivät kuulu kohteeseen.

  • Jos saat haavoittuvuuden vuoksi vahingossa pääsyn tietoihin:

    • rajaa pääsysi minimiin joka vaaditaan, jotta voit osoittaa Konseptitodistuksen; ja

    • keskeytä testaaminen ja lähetä raportti välittömästi, mikäli löydät testauksen aikana käyttäjätietoja, kuten tunnistamisen mahdollisia tietoja, henkilökohtaisia terveystietoja, luottokorttitietoja tai omistusoikeudellisia tietoja;

  • Sinun tulee käyttää vain omistamiasi testitilejä tai tilejä, joiden omistajalta sinulla on selvä suostumus.

  • Älä kiristä.

Turvasatamasopimus

Kun haavoittuvuustutkimusta tehdään tätä käytäntöä noudattaen, pidämme tätä käytännön mukaan tehtyä tutkimusta:

  • sallittuna hakkeroinnin vastaisten lakien puitteissa, emmekä aloita tai tue oikeustoimia sinua vastaan jos käytäntöä ei ole noudatettu vahingossa;

  • sallittuna suojauksen kiertoa koskevien lakien puitteissa; emmekä syytä sinua teknisen suojakusen kiertämisestä;

  • vapautettuna Hyväksytyn käytön käytännössä ilmoitetuista rajoituksista, jotka häiritsisivät turvallisuustutkimusta, ja luovumme rajoituksista rajoitetusti; ja

  • laillisena ja hyvin tarkoitusperin tehtynä ja internetin kokonaisvaltaista turvallisuutta parantavana.

Sinun odotetaan, kuten aina, noudattavan voimassa olevia lakeja. Jos kolmas taho aloittaa oikeustoimenpiteet sinua vastaan, ja olet noudattanut tässä ilmoitettua käytäntöämme, me toimimme niin että tulee tietoon, että toimit tätä käytäntöä noudattaen.

Jos olet jossain tutkimuksen vaiheessa epävarma siitä, noudattaako työskentelysi tätä käytäntöä, lähetäthän meille raportin yhtä virallisista kanavistamme käyttäen ennen kuin jatkat.

Kertaluontoinen lisäpalkkio: 100 000 Yhdysvaltain dollaria

Olemme kehittäneet VPN-palvelimemme suojatuiksi ja vahvoiksi TrustedServer-järjestelmän avulla, joka parantaa palvelimiemme turvallisuutta merkittävästi. Luotamme työhömme tällä alueella ja haluamme varmistaa, että VPN-palvelimemme vastaavat turvallisuutta koskeviin vaatimuksiimme.

Siksi pyydämme tutkijoitamme keskittämään testauksen seuraaviin VPN-palvelimien turvallisuusongelmiin:

  • asiaton pääsy VPN-palvelimelle tai koodin suorittaminen järjestelmässä etänä

  • haavoittuvuudet VPN-palvelimellamme, jotka johtuvat asiakkaiden todellisten IP-osoitteiden vuotamisesta, tai mahdollisuus seurata käyttäjän liikennettä.

Palkkion lunastamista varten vaadimme näyttöä käyttäjien yksityisyyttä koskevista vaikutuksista. Tämä tarkoittaa todisteita asiattomasta pääsystä, koodin suorittamisesta etänä, IP-osoitteen vuodosta tai käyttäjän salaamattomasta (ei VPN:n salaamasta) liikenteestä.

Päätimme tehdä haasteesta erityisen houkuttelevan lisäämällä palkkioon bonuksen: ensimmäinen henkilö, joka raportoi haavoittuvuudesta asianmukaisesti, saa 100 000 yhdysvaltain dollarin lisäpalkkion. Bonus on voimassa, kunnes joku lunastaa sen.

Kohde

Käytämme TrustedServeriä alustana kaikille protokollille, joita tarjoamme käyttäjillemme. Näin ollen kohteena ovat kaikki VPN-palvelimemme.

Varmista, että toimintasi kohdistuu ohjelmassamme määriteltyyn kohteeseen. Esimerkiksi palvelinkeskusten palveluiden hallintapaneelit eivät sisälly kohteeseen, sillä ExpressVPN ei omista, ylläpidä tai operoi niitä. Jos et ole varma, sisältyykö testauksesi kohteeseen, varmista asia ensin ottamalla yhteyttä YesWeHackiin. Jos tutkija suorittaa testausta kohdealueen ulkpuolella, hän ei voi saada palkkiota, ja pidätämme oikeuden poistaa tällaiset henkilöt ohjelmasta.

Poikkeukset

Teemme kaikkemme varmistaaksemme, että haasteisiin osallistutaan samalta lähtöviivalta. Näin ollen seuraavat henkilöt eivät voi saada palkkiota ensimmäisestä kriittisestä löydöstä:

  • ExpressVPN:n tai Kape Technologies -yrityksen muiden tytäryhtiöiden osa-aikaiset tai täysaikaiset työntekijät sekä heidän ystävänsä ja perheenjäsenensä

  • alihankkijat, konsultit, edustajat, toimittajat, myyjät ja muut henkilöt, joilla on sidoksia ExpressVPN:ään.

Näin lähetät raportin

Tutkijoiden tulee lähettää raporttinsa YesWeHackin kautta. Otamme vastaan myös sähköpostitse osoitteeseen security@expressvpn.com lähetettyjä raportteja.

Huomaa: ExpressVPN käyttää YesWeHackia kaikkien bug bounty -ohjelmien hallinnointiin. Raportin lähettäminen sähköpostitse tarkoittaa, että välitämme sähköpostiosoitteesi ja raportin sisällön YesWeHackille luokittelua varten, vaikka et olisikaan kyseisen alustan jäsen.

Katso, keitä on palkittu bug bounty -ohjelmassamme.