Program bug bounty ExpressVPN
ExpressVPN obsługuje tysiące serwerów VPN, tworząc wieloplatformowe aplikacje VPN dla wszystkich popularnych systemów operacyjnych na komputery i urządzenia mobilne. Oferujemy także rozwiązania dla routerów i rozszerzenia przeglądarek.
Bezpieczeństwo jest dla nas jedną z podstawowych wartości. Cenimy wkład hakerów działających w dobrej wierze, którzy pomagają nam utrzymać wysoki standard bezpieczeństwa i prywatności, by chronić naszych użytkowników. Obejmuje to również zachęcanie do odpowiedzialnego poszukiwania i ujawniania luk w zabezpieczeniach.
Od lat prowadzimy wewnętrzny program bug bunty, w ramach którego przekazaliśmy już tysiące dolarów tym, którzy nam pomogli. Zależy nam na tym, by nasze rozwiązania były jak najdoskonalsze, dlatego od zawsze szukamy sposobów na poprawę bezpieczeństwa produktów i usług.
Informacje o celu
Zakres
Zakres obejmuje następujące produkty i usługi:
- *.expressvpn.com
- expressvpn.jobs
- Interfejsy API ExpressVPN
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- Serwery VPN
- Router ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Dowolne aplikacje dostępne pod adresem https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Fokus
Szczególnie interesują nas:
Luki w naszych aplikacjach klienckich, zwłaszcza luki prowadzące do eskalacji uprawnień.
Wszelkiego rodzaju nieautoryzowany dostęp do naszych serwerów VPN.
Luki, które ujawniają dane naszych klientów osobom nieuprawnionym.
Luki, które osłabiają, przerywają lub w jakikolwiek inny sposób osłabiają komunikację VPN tak, że ruch użytkownika korzystającego z naszych produktów VPN może zostać ujawniony.
Ponadto, każdy publicznie dostępny host, który jest własnością ExpressVPN lub jest przez niego obsługiwany, a którego nie ma na powyższej liście, może być uwzględniony w zakresie, indywidualnie dla każdego przypadku.
Dotyczy to wszystkich własności ExpressVPN. Jednak niektóre metodologie testowania są wykluczone. W szczególności testy, które obniżają jakość usług (np. DoS lub spam) nie będą uwzględnione.
W tym zakresie znajdują się także publiczne wersje beta naszych aplikacji. Możesz je znaleźć na naszej stronie beta tester.
Poza zakresem
Wszystkie domeny lub subdomeny niewymienione powyżej w sekcji „Zakres”.
Bezpieczna przystań
Zapewniamy całkowicie bezpieczną przystań, w zgodzie z podstawowymi warunkami określonymi przez define.io – globalnie.
Bezpieczeństwo jest kluczową podstawą naszych wartości, dlatego cenimy wkład hakerów działających w dobrej wierze, aby pomóc nam utrzymać wysoki standard ochrony oraz prywatności naszych użytkowników. To obejmuje zachęcanie do odpowiedzialnego badania i ujawniania luk w zabezpieczeniach. Niniejsza polityka określa naszą definicję dobrej wiary w kontekście znajdowania i zgłaszania luk, a także tego, czego możesz od nas oczekiwać w zamian.
Oczekiwania
Współpracując z nami zgodnie z tą polityką, możesz oczekiwać, że:
zwiększymy bezpieczną przystań dla Twoich badań, które są powiązane z tą polityką;
będziemy z Tobą współpracować, by zrozumieć i zweryfikować Twój raport, w tym wstępną odpowiedź na zgłoszenie;
będziemy pracować nad usunięciem wykrytych luk w odpowiednim czasie; i
docenimy Twój wkład w poprawę naszej ochrony, jeśli jako pierwsza osoba zgłosisz unikalną lukę w zabezpieczeniach, a Twój raport wpłynie na zmianę kodu lub konfiguracji.
Podstawowe zasady
Aby wspierać badanie luk w zabezpieczeniach i unikać nieporozumień wynikających z różnicy między hakowaniem w dobrej wierze a złośliwym atakiem, prosimy Cię o przestrzeganie następujących zasad.
Graj zgodnie z zasadami. Obejmuje to przestrzeganie polityki, a także wszelkich innych istotnych porozumień. Jeśli istnieje jakakolwiek niezgodność między niniejszą polityką a innymi stosownymi warunkami, pierwszeństwo mają reguły polityki.
Natychmiast zgłaszaj wszelkie wykryte luki.
Unikaj naruszania prywatności innych osób, zakłócania pracy naszych systemów, niszczenia danych i/lub szkodzenia doświadczeniu użytkownika.
Korzystaj tylko z oficjalnych kanałów, aby omawiać z nami informacje dotyczące luk w zabezpieczeniach.
Zachowaj szczegóły na temat wszelkich wykrytych luk dla siebie, dopóki nie zostaną naprawione (zgodnie z polityką ujawniania informacji).
Przeprowadzaj testy jedynie na systemach objętych zakresem i przestrzegaj systemów oraz działań, które znajdują się poza zakresem.
Jeśli luka powoduje niezamierzony dostęp do danych:
ogranicz ilość danych, do których masz dostęp do minimum wymaganego do skutecznego wykazania dowodu poprawności; i
zaprzestań testów i natychmiast prześlij raport, jeśli podczas testowania napotkasz jakiekolwiek dane użytkownika, jak dane osobowe (PII), informacje o stanie zdrowia (PHI), dane karty kredytowej lub informacje zastrzeżone;
Wchodź w interakcje jedynie z kontami testowymi, które należą do Ciebie lub za wyraźną zgodą właściciela konta.
Nie angażuj się w wymuszenia.
Bezpieczna przystań – porozumienie
Przeprowadzając badania pod kątem luk, zgodnie z niniejszą polityką, uważamy, że owe badania, przeprowadzone w ramach tejże polityki, są:
autoryzowane w świetle wszelkich obowiązujących przepisów dotyczących przeciwdziałania włamaniom i nie będziemy inicjować ani wspierać działań prawnych przeciwko Tobie w przypadku nieumyślnych naruszeń tych zasad w dobrej wierze;
autoryzowane w świetle odpowiednich przepisów dotyczących obchodzenia zabezpieczeń i nie będziemy wnosić przeciwko Tobie roszczeń z tytułu obchodzenia kontroli technologii;
zwolnione z ograniczeń określonych w naszej polityce dopuszczalnego użytkowania, które kolidowałyby z przeprowadzaniem badań w kwestii bezpieczeństwa oraz zrzekamy się tychże ograniczeń w limitowanym zakresie; i
zgodne z prawem, pomocne w kwestii ogólnego bezpieczeństwa Internetu oraz prowadzone w dobrej wierze.
Oczekuje się, jak zawsze, przestrzegania wszelkich obowiązujących przepisów. Jeśli osoba trzecia wszczęła przeciwko Tobie, a Twoje działania były zgodne z niniejszą polityką, podejmiemy kroki, aby potwierdziź, że Twoje działania zostały przeprowadzone zgodnie z tą polityką.
Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy Twoje badanie w kwestii bezpieczeństwa jest zgodne z niniejszą polityką, prześlij raport za pośrednictwem jednego z naszych oficjalnych kanałów, zanim przystąpisz do dalszego działania.
Jednorazowa nagroda w wysokości 100 000 USD
Zaprojektowaliśmy nasze serwery VPN tak, aby były bezpieczne i odporne dzięki systemowi o nazwie TrustedServer, który radykalnie poprawia ich poziom bezpieczeństwa. Jesteśmy pewni naszej pracy w tej dziedzinie i dążymy do tego, aby nasze serwery VPN spełniały nasze oczekiwania w zakresie bezpieczeństwa.
W związku z tym zapraszamy naszych badaczy do skoncentrowania się na testowaniu następujących rodzajów problemów bezpieczeństwa na naszych serwerach VPN:
nieautoryzowany dostęp do serwera VPN lub zdalne wykonanie kodu
luki w naszym serwerze VPN, które powodują wyciek prawdziwych adresów IP klientów lub możliwość monitorowania ruchu użytkowników
Aby móc zakwalifikować Ciędo ubiegania się o tę nagrodę, będziemy wymagać od CIebie dowodu wpływu luki na prywatność naszych użytkowników. Musisz zademonstrować nieautoryzowany dostęp, zdalne wykonanie kodu, wyciek adresu IP lub możliwośc monitorowania niezaszyfrowanego (nie szyfrowanego przez VPN) ruchu użytkownika.
Aby uczynić to wyzwanie jeszcze bardziej kuszącym, oferujemy następującą nagrodę: pierwsza osoba, która zgłosi kwalifikującą lukę, otrzyma dodatkowy bonus w wysokości 100 000 USD. Bonus ten będzie ważny do momentu odebrania nagrody.
Zakres
Używamy TrustedServer jako platformy dla wszystkich protokołów, które oferujemy naszym użytkownikom, więc program obejmuje wszystkie nasze serwery VPN.
Upewnij sę, że Twoje działania pozostają w zakresie programu. Na przykład, panele administracyjne dla usług centrum danych, z których korzystamy, są poza zakresem programu, ponieważ nie są własnością, nie są hostowane i nie są obsługiwane przez ExpressVPN. Jeśli nie masz pewności, czy testowany element jest ujęty w zakresie, skontaktuj się z YesWeHack, by uzyskać potwierdzenie. Jeśli okaże się, że przeprowadzasz testy poza zakresem programu, nie będzie w stanieotrzymać nagrody, a my zastrzegamy sobie prawo do natychmiastowego usunięcia Ciię z programu.
Wykluczenia
Staramy się, aby nasze wyzwania oferowały równe szanse. Dlatego następujące osoby nie są uprawnione do ubiegania się o premię za pierwsze krytyczne znalezisko:
pełnoetatowi i niepełnoetatii pracownicy ExpressVPN lub pracownicy dowolnej innej filii Kape Technologies, a także ich przyjacele i rodziny; oraz
wykonawcy, konsultanci, przedstawiciele, dostawcy, sprzedawcy oraz inne osoby związane lub w inny sposób powiązane z ExpressVPN.
Jak wysłać raport
Osoby zajmujące się weryfikacją powinny przesyłać raporty za pośrednictwem YesWeHack. Alternatywnie, akceptujemy również zgłoszenia wysłane pocztą elektroniczną na adres security@expressvpn.com.
Uwaga: ExpressVPN używa YesWeHack do obsługi wszystkich programów bug bounty. Jeśli prześlesz zgłoszenie za pośrednictwem poczty elektronicznej, przekażemy Twój adres e-mail i nadesłaną zawartość do YesWeHack na potrzeby selekcji, nawet jeśli nie jesteś członkiem platformy.
Dowiedz się, kto został nagrodzony w naszym programie bug bounty.