ExpressVPNs bug bounty-program

ExpressVPN driver tusenvis av VPN-servere og lager plattformuavhengige VPN-applikasjoner for alle større operativsystemer for PC og mobil, samt rutere og nettleserutvidelser.

Sikkerhet er en sentral verdi for oss, og vi setter pris på innspill fra hackere som handler i god tro for å hjelpe oss med å opprettholde en høy standard for sikkerheten og personvernet til brukerne våre. Dette innebærer å oppmuntre til ansvarlig testing og rapportering av sårbarheter.

Vi har tilbudt et internt ‘bug bounty’-program (belønningsordning for rapportering av sikkerhetshull) i flere år og har utbetalt tusenvis av dollar til sikkerhetsforskere i løpet av denne tiden. Vi verdsetter fremragende ingeniørkunst, og ser alltid etter måter å forbedre sikkerheten til produktene og tjenestene våre på.

Få belønninger med vår bug bounty program.

Målinformasjon

Omfang

Følgende produkter og tjenester omfattes:

Fokus

Vi er spesielt interessert i:

  • sårbarheter i våre klientprogrammer, spesielt sikkerhetsproblemer som fører til eskalering av rettigheter,

  • enhver type uautorisert tilgang til våre VPN-servere,

  • sikkerhetsproblemer som viser våre kundedata til uautoriserte personer,

  • sårbarheter som reduserer, bryter eller på annen måte undergraver vår VPN-kommunikasjon på en måte som eksponerer trafikken til personer som bruker våre VPN-produkter.

Enhver offentlig tilgjengelig vert som eies eller driftes av ExpressVPN som ikke er på listen over, kan betraktes som innenfor omfanget i hvert enkelt tilfelle.

Alle ExpressVPN-eiendeler kan betraktes som innenfor omfanget. Enkelte testmetodologier er imidlertid ekskludert. Mer spesifikt vil tester som reduserer kvaliteten på tjenesten, f.eks. DoS eller spam, ikke bli tatt med.

Offentlige betaversjoner av applikasjonene våre er også i omfang. Du kan få dem via vår betatesterside.

Utenfor omfang

Alle domener eller underdomener som ikke er oppført i listen for “Omfang” ovenfor.

Safe harbor

Vi gir full safe harbor i henhold til disclose.io sine core-terms-GLOBAL.

Sikkerhet er kjernen i våre verdier, og vi verdsetter tilbakemeldingene fra hackere som handler i god tro for å hjelpe oss med å opprettholde en høy standard for sikkerhet og personvern for våre brukere. Dette inkluderer å oppfordre til ansvarlig sårbarhetsforskning og rapportering. Denne policyen beskriver vår definisjon av god tro i forbindelse med å finne og rapportere sikkerhetsproblemer samt hva du kan forvente av oss i retur.

Forventninger

Når du samarbeider med oss i henhold til denne policyen, kan du forvente at vi:

  • gir safe harbor for din sårbarhetsforskning som er relatert til denne policyen;

  • samarbeider med deg for å forstå og validere rapporten din, herunder første svar til innsendingen innen rimelig tid;

  • jobber for å utbedre oppdagede sårbarheter innen rimelig tid; og

  • anerkjenner ditt bidrag til å forbedre sikkerheten vår hvis du er den første til å rapportere en unik sårbarhet og rapporten din fører til en kode- eller konfigurasjonsendring.

Grunnregler

For å oppfordre til sårbarhetsforskning og for å unngå forvirring mellom hacking i god tro og ondsinnet angrep, ber vi om følgende fra deg.

  • Følg spillereglene. Dette inkluderer å følge denne policyen samt enhver annen relevant avtale. Hvis det er inkonsekvenser mellom denne policyen og andre relevante vilkår, vil vilkårene i denne policyen være gjeldende.

  • Rapporter alle sårbarheter du oppdager så snart som mulig.

  • Unngå å bryte andres personvern, forstyrre våre systemer, ødelegge data, og/eller skade brukeropplevelsen.

  • Bruk kun offisielle kanaler for å diskutere sårbarhetsinformasjon med oss.

  • Hold detaljene om oppdagede sårbarheter hemmelig til de er rettet, i henhold til rapporteringspolicyen.

  • Utfør testing kun på systemer i omfanget, og respekter systemer og aktiviteter som er utenfor omfanget.

  • Hvis en sårbarhet gir utilsiktet tilgang til data:

    • begrens mengden data du åpner til et minimum som kreves for å demonstrere konseptutprøving på en effektiv måte; og

    • avslutt testingen og send en rapport umiddelbart hvis du oppdager noe brukerdata under testing, for eksempel personlig identifiserbar informasjon (PII), personlig helseinformasjon(PHI), kredittkortopplysninger eller proprietær informasjon;

  • Du skal bare samhandle med testkontoer du eier eller med eksplisitt tillatelse fra kontoinnehaveren.

  • Ikke delta i utpressing.

Avtale om safe harbor

Når du utfører sårbarhetsforskning i samsvar med denne policyen, anser vi denne forskningen som utføres under denne policyen å være:

  • autorisert med hensyn til enhver gjeldende lover mot hacking, og vi vil ikke iverksette eller støtte rettslige skritt mot deg for utilsiktede brudd på denne policyen;

  • autorisert med hensyn til relevante lover mot omgåelse, og vi vil ikke reise et krav mot deg for omgåelse av teknologikontroller;

  • unntatt restriksjoner i vår Policy for akseptabel bruk, som kan forstyrre utførelsen av sårbarhetsforskningen, og vi frafaller disse restriksjonene på et begrenset grunnlag; og

  • lovlig, hjelpsom for den generelle internett-sikkerheten, og utført i god tro.

Som alltid forventes det at du overholder alle gjelende lover. Hvis rettslige skritt iverksettes av en tredjepart mot deg og du har overholdt denne policyen, vil vi iverksette tiltak for å gjøre det kjent at dine handlinger ble utført i samsvar med denne policyen.

Hvis du når som helst skulle ha bekymringer eller er usikker på om sårbarhetsforskningen din er i samsvar med denne policyen, kan du sende en rapport gjennom en av våre offisielle kanaler før du går videre.

Engangs bonusbelønning på US$100 000

Vi har designet VPN-serverne våre til å være sikre og motstandsdyktige med et system kalt TrustedServer, som forbedrer sikkerhetsposisjonen til serverne våre dramatisk. Vi er sikre på arbeidet vårt i dette området, og har som mål å sørge for at VPN-serverne våre møter sikkerhetsforventningene våre.

Derfor inviterer vi undersøkerne våre til å fokusere testingen på de følgende typene sikkerhetsspørsmål i VPN-serverne våre:

  • Uautorisert tilgang til en VPN-server eller ekstern kodekjøring

  • Sårbarheter i VPN-serveren vår som resulterer i lekkasje av de virkelige IP-adressene til klientene eller muligheten til å overvåke brukernes trafikk

For å kvalifisere til å heve denne dusøren, vil vi kreve bevis for påvirkning av brukernes personvern. Dette vil kreve demonstrasjon av uautorisert tilgang, ekstern kodekjøring, IP-adresselekkasje eller muligheten til å overvåke ukryptert (ikke-VPN-kryptert) brukertrafikk.

For å gjøre denne utfordringen mer interessant, introduserer vi følgende bonus: Den første personen til å presentere en gyldig sårbarhet vil motta en ekstra dusørbonus på US$100 000. Denne bonusen vil være gyldig til premien har blitt hevet.

Prosjektrammer

Vi bruker TrustedServer som en plattform for alle protokollene vi tilbyr brukerne våre, så alle VPN-serverne våre regnes som innenfor rammene.

Sørg for at aktivitetene dine forblir innenfor programmets rammer. For eksempel er admin-paneler for datasentertjenestene vi benytter utenfor rammene for de de ikke eies, driftes eller opereres av ExpressVPN. Hvis du er usikker på om testingen din regnes som innenfor omfanget, vennligst ta kontakt med YesWeHack for å få en bekreftelse først. En undersøker som tester utenfor rammene vil ikke være kvalifisert for en belønning, og vi vil forbeholde oss retten til å fjerne individet fra programmet umiddelbart.

Ekskluderinger

Vi ønsker å sørge for at alle utfordringene våre skjer på like vilkår. Derfor er de følgende personene ikke kvalifisert for å heve bonusen for det første kritiske funnet:

  • Fulltids- eller deltidsansatte hos ExpressVPN eller noen andre datterselskaper av Kape Technologies, så vel som deres venner og familie; og

  • entreprenører, konsulenter, representanter, leverandører, selgere eller andre personer relatert til eller på annen måte tilknyttet ExpressVPN.

Hvordan sende inn en rapport

Testere kan sende inn rapportene sine via YesWeHack. Alternativt aksepterer vi også innsendinger via e-post til security@expressvpn.com.

Vennligst merk: ExpressVPN bruker YesWeHack til å administrere alle bug bounty-programmer. Innsending via e-post betyr at vi vil dele e-postadressen din og dele innhold med YesWeHack for formål knyttet til triage, selv om du ikke er medlem av plattformen.

Finn ut hvem som har fått belønning i vårt bug bounty-program.