Программа поиска багов ExpressVPN
ExpressVPN управляет тысячами VPN-серверов и разрабатывает кроссплатформенные VPN-приложения для всех основных настольных и мобильных операционных систем, а также для роутеров и браузеров.
Безопасность — одна из наших ключевых ценностей, и мы высоко ценим вклад хакеров, которые действуют добросовестно, помогая нам поддерживать высокий уровень защиты и конфиденциальности данных наших пользователей. Мы всячески поддерживаем ответственное исследование уязвимостей и их раскрытие.
Уже много лет у нас действует собственная программа поиска багов, в рамках которой мы выплатили тысячам долларов исследователям безопасности. Мы ценим качественную инженерию и всегда ищем возможности сделать наши продукты и услуги еще более надежными.
Целевая информация
Область охвата
Под действие программы подпадают следующие продукты и услуги:
- *.expressvpn.com
- expressvpn.jobs
- API ExpressVPN
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- VPN-серверы
- Роутер ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Все приложения на https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Особое внимание
Мы особенно заинтересованы в:
уязвимостях наших клиентских приложений, в частности в уязвимостях, обеспечивающих несанкционированный доступ того или иного уровня,
неавторизованном доступе к нашим VPN-серверам,
уязвимостях, открывающих неавторизованный доступ к данным наших клиентов посторонним,
уязвимостях, способных затруднить, нарушить или иным образом ухудшить работу наших VPN-систем, открыв доступ к трафику пользователей наших VPN-продуктов.
В зависимости от конкретного случая в фокус данной программы также могут входить любые общедоступные хосты, принадлежащие компании ExpressVPN или управляемые ей, но не перечисленные в списке выше.
Любая собственность ExpressVPN может считаться входящей в фокус данной программы. При этом определенные методы тестирования запрещены к применению — в частности, тесты, способные привести к нарушению качества услуг (DoS, спам).
Общедоступные бета-версии наших приложений также входят в фокус данной программы. Вы можете найти их на нашей странице тестирования бета-версий.
В данную программу не входят
Все домены и поддомены, не указанные в приведенном выше списке «Области охвата».
Защита от угроз
Мы обеспечиваем полную защиту от угроз согласно core-terms-GLOBAL от disclose.io.
Безопасность — это основа наших ценностей, и мы ценим действия этичных хакеров, помогающих нам поддерживать высокий уровень защищенности и приватности наших пользователей, в том числе за счет ответственного поиска уязвимостей и разглашения соответствующих фактов. Данная политика устанавливает наше определение этичности в контексте поиска и уведомления об уязвимостях, а также определяет наши ответные действия.
Ожидания
Сотрудничая с нами в рамках данной политики, вы можете ожидать от нас:
расширенной защиты для вашего исследования на предмет уязвимостей, проводящегося в связи с данной политикой;
сотрудничества с целью изучения и оценки вашего сообщения, в том числе своевременного извещения о получении вашего материала;
своевременного устранения найденных уязвимостей; и
признания вашего вклада в повышение безопасности наших продуктов, если найденные вами уязвимости окажутся уникальными, а ваше сообщение приведет к изменению программного кода или настроек наших продуктов.
Основные правила
Чтобы избежать путаницы между этичным хакингом и вредоносной атакой, а также в рамках организации работы по поиску уязвимостей мы просим вас:
Соблюдать правила, в том числе данную политику и любые другие релевантные соглашения. В случае несоответствия положений данной политики положениям других релевантных соглашений приоритет остается за данной политикой.
Своевременно сообщаться о любых найденных уязвимостях.
Не нарушать приватность других пользователей, не нарушать работу наших систем, не уничтожать данные и не ухудшать пользовательский опыт.
Использовать для обсуждения с нами информации об уязвимостях только официальные каналы.
Не распространять сведения о найденных уязвимостях до момента их устранения, как того требует политика неразглашения.
Проводить тестирование только тех систем, которые входят в фокус данной программы, и не тестировать системы и действия, не входящие в фокус данной программы.
Если уязвимость открывает непреднамеренный доступ к данным:
ограничить объем данных, к которому был получен доступ, минимально необходимым для доказательства наличия уязвимости; и
прекратить тестирование и немедленно сообщить о найденной уязвимости, если в процессе тестирования вы получите доступ к любым пользовательским данным, в том числе к сведениям, позволяющим установить личность пользователя (PII), личным медицинским данным (PHI), данным банковских карт или иной проприетарной информации;
Использовать для тестирования только принадлежащие вам учетные записи или учетные записи других лиц, предоставших вам соответствующее и явно выраженное разрешение.
Не заниматься вымогательством и шантажом.
Соглашение о защите от угроз
Мы рассматриваем исследование на предмет наличия уязвимостей, проводимое в рамках данной политики, как отвечающее следующим критериям:
оно не противоречит любым актуальным законам о противодействии хакерству, при этом мы не подадим на вас в суд за случайные и обоснованные нарушения данной политики;
оно не противоречит любым актуальным законам, запрещающим использование обходных путей, при этом мы не подадим на вас в суд за обход использованных технологий управления;
оно освобождено от ограничений, описанных в Политике приемлемого использования, которые могут затруднить проведения исследования, при этом мы ограниченным образом избавляем вас от необходимости соблюдать эти ограничения; и
оно проводится с добрыми намерениями и помогает сделать Интернет безопаснее.
Мы ожидаем, что вы будете соблюдать все актуальные законы. Если третьев стороной против вас будет подан судебный иск, и вы действовали в рамках данной политики, то мы примем меры к тому, чтобы сообщить о том, что вы действовали в рамках данной политики.
Если у вас остались вопросы, а также если вы не уверены, соответствует ли ваше исследование данной политике, пожалуйста, отправьте нам отчет через любой из наших официальных каналов и не продолжайте работу, пока не получите от нас ответ.
Единовременная премия в размере 100 000 долларов США
Мы создали новую серверную технологию TrustedServer, которая значительно повысила уровень безопасности наших VPN-серверов и их устойчивость к отказу. Мы уверены в этой новой системе и стремимся к тому, чтобы наши VPN-серверы соответствовали нашим ожиданиям в плане безопасности.
В связи с этим мы просим исследователей сосредоточить свое внимание на тестировании следующих проблем безопасности, связанных с VPN-серверами:
несанкционированный доступ к VPN-серверу или удаленное выполнение кода;
уязвимости в нашем VPN-сервере, которые приводят к утечке настоящих IP-адресов наших пользователей или возможности отслеживать пользовательский трафик.
От претендентов на это вознаграждение мы ожидаем доказательств нарушения конфиденциальности наших пользователей. Для этого необходимо продемонстрировать несанкционированный доступ, удаленное выполнение кода, утечку IP-адресов или возможность отслеживания незашифрованного VPN-сетью пользовательского трафика.
Для большей привлекательности мы предлагаем вознаграждение: первый, кто представит подтвержденную уязвимость, получит дополнительную премию в размере 100 000 долларов США. Это предложение будет в силе до тех пор, пока приз не будет востребован.
Область применения
Технология TrustedServer используется для всех протоколов, которые мы предлагаем нашим пользователям, поэтому все наши VPN-серверы охвачены этой программой.
Пожалуйста, убедитесь, что ваше тестирование не выходит за рамки программы. Например, используемые нами панели администраторов для дата-центров не входят в сферу действия программы, поскольку они не принадлежат ExpressVPN и не управляются нашей компанией. Если вы не уверены, входит ли ваше тестирование в область охвата, пожалуйста, сначала свяжитесь с командой YesWeHack для подтверждения. Если будет обнаружено, что ваше тестирование проводилось вне рамок программы, то вы не сможете претендовать на вознаграждение, и мы оставляем за собой право немедленно исключить такого исследователя из программы.
Исключения
Мы стремимся к тому, чтобы все тестирования проходили в равных условиях. В связи с этим следующие лица не имеют права претендовать на премию:
сотрудники ExpressVPN или любой другой дочерней компании Kape Technologies, работающие полный или неполный рабочий день, а также их друзья и члены семьи;
подрядчики, консультанты, представители, поставщики, продавцы или любые другие лица, связанные тем или иным образом с ExpressVPN.
Как отправить отчёт
Исследователи должны отправлять свои отчеты через YesWeHack. Также мы принимаем сообщения, отправленные на электронный адрес security@expressvpn.com.
Обратите внимание: ExpressVPN использует платформу YesWeHack для управления всеми программами поиска багов. Если вы отправите отчет по электронной почте, мы будем вынуждены передать ваш адрес электронной почты и содержание сообщения в YesWeHack для обработки, даже если вы не являетесь участником этой платформы.
Узнайте, кто уже получил вознаграждение в рамках нашей программы по поиску багов.