ExpressVPN:n bug bounty -ohjelma

ExpressVPN:n vastuulla on tuhansia VPN-palvelimia ja se luo VPN-sovelluksia eri alustoille ja kaikille suurimmille käyttöjärjestelmille sekä reitittimille että selainlaajennuksia.

ExpressVPN suhtautuu erittäin vakavasti sovellustensa ja palveluidensa turvallisuuteen. Olemme ylläpitäneet omaa haavoittuvuuspalkinto-ohjelmaamme vuosien ajan ja palkinneet turvallisuusasiantuntijoita kymmenillä tuhansilla dollareilla. Arvostamme taitavia teknisiä ratkaisuja ja pyrimme jatkuvasti parantamaan tuotteidemme ja palveluidemme turvallisuutta.

Hanki palkintoja bugipalkkio-ohjelmamme avulla.

Tietoja kohteesta

Kohteet

Ohjelman piiriin kuuluvat seuraavat tuotteet ja palvelut:

  • VPN-palvelimet

  • ExpressVPN:n iOS-sovellus

  • ExpressVPN:n Android-sovellus

  • ExpressVPN:n Linux-sovellus

  • ExpressVPN:n macOS-sovellus

  • ExpressVPN:n Windows-sovellus

  • ExpressVPN:n reititinsovellus

  • ExpressVPN:n Firefox-selainlaajennus

  • ExpressVPN:n Chrome-selainlaajennus

  • MediaStreamerin DNS-palvelimet

  • ExpressVPN:n APIt

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Ylläolevien lisäksi kohteena ovat myös:

  • sisäiset järjestelmät, esimerkiksi työntekijöiden sähköpostit, sisäiset viestit ja lähdekoodin säilytys

  • kaikki haavoittuvuudet, jotka liittyvät työntekijöidemme yksityisyyteen.

Painopiste

Olemme erityisen kiinnostuneita:

  • haavoittuvuksista asiakkaille tarkoitetuissa sovelluksissa: erityisesti haavoittuvuuksista, jotka johtavat eskalaatiohyökkäyksiin

  • kaikista mahdollisista luvattomista pääsyistä VPN-palvelimillemme

  • haavoittuvuuksista, jotka paljastavat asiakkaidemme tietoja asiattomille tahoille

  • haavoittuvuuksista, jotka heikentävät, katkaisevat tai muutoin vaikuttavat VPN-liikenteeseen niin, että kenen tahansa VPN-tuotteitamme käyttävien liikenne paljastuu.

Lisäksi kaikki julkisesti saavutettavissa olevat ExpressVPN:n omistamat tai operoimat internet-laitteet voidaan tapauskohtaisesti sisällyttää ohjelman piiriin.

Kaikkien ExpressVPN:n ominaisuuksien voidaan katsoa kuuluvan ohjelman piiriin. Tietyt testausmetodit on kuitenkin suljettu ulos. Erityisesti palvelun tasoa häiritseviä metodeja, kuten DoS-hyökkäyksiä tai roskapostia, ei hyväksytä.

Sovellustemme julkiset beta-versiot kuuluvat myös ohjelman piiriin. Pääset käyttämään niitä beta-testaamista käsittelevän sivumme kautta.

Kohteeseen eivät sisälly

  • sovellustemme alfa-versiot

  • sosiaalinen manipulointi (esim. tietojen kalastelu)

  • toimistojemme, palvelintemme ja työntekijöidemme fyysinen turvallisuus

  • kolmannen osapuolen ohjelmistot (paitsi tapauksissa, joissa haavoittuvuutta voidaan käyttää korjaustiedoston virheellisen konfiguroinnin vuoksi).


Safe harbor -turvasatama

Tarjoamme täyden turvasataman disclose.io:n core-terms-GLOBAL-tiedostoa noudattaen.

Turvallisuus on ydinarvomme, ja arvostamme hyvissä tarkoitusperissä toimivien hakkereiden panosta, joka auttaa meitä ylläpitämään käyttäjiemme korkean tason turvallisuutta ja yksityisyyttä. Näissä puitteissa rohkaisemme vastuulliseen haavoittuvuuksien etsimiseen ja niistä ilmoittamiseen. Tässä käytännössä määrittelemme, mitä tarkoitamme hyvissä tarkoitusperissä toimimisella mitä tulee haavoittuvuuksien etsimiseen ja niistä ilmoittamiseen, sekä sen, mitä voit odottaa meiltä vastineeksi työstäsi.

Odotukset

Kun työskentelet kanssamme tätä käytäntöä noudattaen, voit odottaa meiltä seuraavia asioita:

  • turvasatamakäytäntöä sovelletaan haavoittuvuustutkimukseesi, joka tapahtuu tämän käytännön puitteissa;

  • työskentelemme kanssasi, jotta ymmärrämme ja voimme vahvistaa raporttisi, ja vastaamme ilmoitukseesi nopeasti;

  • työskentelemme nopeasti korjataksemme löydetyt haavoittuvuudet; ja

  • tunnustamme panoksesi turvallisuutemme parantamiseen, jos raportoit uniikista haavoittuvuudesta ensimmäisenä, ja raporttisi johtaa muutokseen koodissa tai konfiguraatiossa.

Perussäännöt

Rohkaistaaksemme haavoittuvuustutkimusta ja välttääksemme sekaannuksia hyvissä tarkoitusperissä tehdyn hakkeroinnin ja pahantahtoisten iskujen välillä, pyydämme sinulta seuraavia asioita:

  • Noudata sääntöjä. Tähän sisältyy tämän käytännön noudattaminen sekä muiden olennaisten sopimusten seuraaminen. Jos tämän ja muiden olennaisten sääntöjen välillä on ristiriitoja, tämän käytännön säännöt pätevät.

  • Ilmoita kaikista löytämistäsi haavoittuvuuksista ripeästi.

  • Vältä muiden yksityisyyden loukkaamista, järjestelmiemme häiritsemistä, tiedon tuhoamista ja/tai käyttäjäkokemuksen huonontamista.

  • Käytä ainoastaan virallisia kanavia keskustellaksesi haavoittuvuustiedoista kanssamme.

  • Pidä kaikki löydettyihin haavoittuvuuksiin liittyvät tiedot ilmoituskäytäntöä noudattaen turvassa, kunnes haavoittuvuudet on korjattu.

  • Tee testauksia ainoastaan kohteeksi rajatuissa järjestelmissä, ja kunnioita järjestelmiä ja toimintaa, jotka eivät kuulu kohteeseen.

  • Jos saat haavoittuvuuden vuoksi vahingossa pääsyn tietoihin:

    • rajaa pääsysi minimiin joka vaaditaan, jotta voit osoittaa Konseptitodistuksen; ja

    • keskeytä testaaminen ja lähetä raportti välittömästi, mikäli löydät testauksen aikana käyttäjätietoja, kuten tunnistamisen mahdollisia tietoja, henkilökohtaisia terveystietoja, luottokorttitietoja tai omistusoikeudellisia tietoja;

  • Sinun tulee käyttää vain omistamiasi testitilejä tai tilejä, joiden omistajalta sinulla on selvä suostumus.

  • Älä kiristä.

Turvasatamasopimus

Kun haavoittuvuustutkimusta tehdään tätä käytäntöä noudattaen, pidämme tätä käytännön mukaan tehtyä tutkimusta:

  • sallittuna hakkeroinnin vastaisten lakien puitteissa, emmekä aloita tai tue oikeustoimia sinua vastaan jos käytäntöä ei ole noudatettu vahingossa;

  • sallittuna suojauksen kiertoa koskevien lakien puitteissa; emmekä syytä sinua teknisen suojakusen kiertämisestä;

  • vapautettuna Hyväksytyn käytön käytännössä ilmoitetuista rajoituksista, jotka häiritsisivät turvallisuustutkimusta, ja luovumme rajoituksista rajoitetusti; ja

  • laillisena ja hyvin tarkoitusperin tehtynä ja internetin kokonaisvaltaista turvallisuutta parantavana.

Sinun odotetaan, kuten aina, noudattavan voimassa olevia lakeja. Jos kolmas taho aloittaa oikeustoimenpiteet sinua vastaan, ja olet noudattanut tässä ilmoitettua käytäntöämme, me toimimme niin että tulee tietoon, että toimit tätä käytäntöä noudattaen.

Jos olet jossain tutkimuksen vaiheessa epävarma siitä, noudattaako työskentelysi tätä käytäntöä, lähetäthän meille raportin yhtä virallisista kanavistamme käyttäen ennen kuin jatkat.

Kertaluontoinen lisäpalkkio: 100 000 Yhdysvaltain dollaria

Olemme kehittäneet VPN-palvelimemme suojatuiksi ja vahvoiksi TrustedServer-järjestelmän avulla, joka parantaa palvelimiemme turvallisuutta merkittävästi. Luotamme työhömme tällä alueella ja haluamme varmistaa, että VPN-palvelimemme vastaavat turvallisuutta koskeviin vaatimuksiimme.

Siksi pyydämme tutkijoitamme keskittämään testauksen seuraaviin VPN-palvelimien turvallisuusongelmiin:

  • asiaton pääsy VPN-palvelimelle tai koodin suorittaminen järjestelmässä etänä

  • haavoittuvuudet VPN-palvelimellamme, jotka johtuvat asiakkaiden todellisten IP-osoitteiden vuotamisesta, tai mahdollisuus seurata käyttäjän liikennettä.

Palkkion lunastamista varten vaadimme näyttöä käyttäjien yksityisyyttä koskevista vaikutuksista. Tämä tarkoittaa todisteita asiattomasta pääsystä, koodin suorittamisesta etänä, IP-osoitteen vuodosta tai käyttäjän salaamattomasta (ei VPN:n salaamasta) liikenteestä.

Päätimme tehdä haasteesta erityisen houkuttelevan lisäämällä palkkioon bonuksen: ensimmäinen henkilö, joka raportoi haavoittuvuudesta asianmukaisesti, saa 100 000 yhdysvaltain dollarin lisäpalkkion. Bonus on voimassa, kunnes joku lunastaa sen.

Kohde

Käytämme TrustedServeriä alustana kaikille protokollille, joita tarjoamme käyttäjillemme. Näin ollen kohteena ovat kaikki VPN-palvelimemme.

Varmista, että toimintasi kohdistuu ohjelmassamme määriteltyyn kohteeseen. Esimerkiksi palvelinkeskusten palveluiden hallintapaneelit eivät sisälly kohteeseen, sillä ExpressVPN ei omista, ylläpidä tai operoi niitä.  Jos et ole varma, kohdistuuko testaamisesi palkkion kattamaan alueeseen, ota siitä selvää ennen aloittamista lähettämällä viesti osoitteeseen support@bugcrowd.com. Jos tutkija suorittaa testausta kohdealueen ulkpuolella, hän ei voi saada palkkiota, ja pidätämme oikeuden poistaa tällaiset henkilöt ohjelmasta.

Poikkeukset

Teemme kaikkemme varmistaaksemme, että haasteisiin osallistutaan samalta lähtöviivalta. Näin ollen seuraavat henkilöt eivät voi saada palkkiota ensimmäisestä kriittisestä löydöstä:

  • ExpressVPN:n tai Kape Technologies -yrityksen muiden tytäryhtiöiden osa-aikaiset tai täysaikaiset työntekijät sekä heidän ystävänsä ja perheenjäsenensä

  • alihankkijat, konsultit, edustajat, toimittajat, myyjät ja muut henkilöt, joilla on sidoksia ExpressVPN:ään.

Näin lähetät raportin

Tutkijoiden tulee lähettää raporttinsa Bugcrowdia käyttäen. Otamme vastaan myös sähköpostitse osoitteeseen security@expressvpn.com lähetettyjä raportteja.

Huomaa: ExpressVPN käyttää Bugcrowdia bug bounty -ohjelmiensa hallinointiin. Raportin lähettäminen sähköpostilla tarkoittaa sitä, että välitämme sähköpostiosoitteesi ja sisällön Bugcrowdille esitarkistusta varten, vaikka et olisikaan kyseisen alustan jäsen.

Katso, keitä on palkittu bug bounty -ohjelmassamme.