Il programma di bug bounty di ExpressVPN

ExpressVPN gestisce migliaia di server VPN e realizza applicazioni VPN multipiattaforma per tutti i principali sistemi operativi, nonché router ed estensioni del browser.

ExpressVPN prende seriamente la sicurezza delle sue applicazioni e dei suoi servizi. Abbiamo offerto per anni un programma di bug bounty interno e abbiamo assegnato decine di migliaia di dollari a ricercatori di sicurezza. Apprezziamo l'eccellenza dell'ingegneria e siamo sempre alla ricerca di modi per migliorare la sicurezza dei nostri prodotti e servizi.

Ottieni ricompense con il nostro programma bug bounty.

Informazioni sull'obiettivo

Scopo

I seguenti prodotti e servizi rientrano nell'ambito di applicazione:

  • Server VPN

  • Applicazione di ExpressVPN per iOS

  • Applicazione di ExpressVPN per Android

  • Applicazione di ExpressVPN per Linux

  • Applicazione di ExpressVPN per macOS

  • Applicazione di ExpressVPN per Windows

  • Applicazione di ExpressVPN per router

  • Estensione ExpressVPN per Firefox

  • Estensione ExpressVPN per Chrome

  • Server DNS MediaStreamer

  • API di ExpressVPN

  • expressvpn.com

  • * .expressvpn.com

  • * .xvservice.net

  • expressobutiolem.onion

  • App Store di Apple (886492891)

  • Google Play (com.expressvpn.vpn)

Rientrano nell’ambito di applicazione anche:

  • sistemi interni, ad es. email dei dipendenti, messaggi di chat interna, hosting del codice sorgente

  • qualsiasi vulnerabilità che comprometta la privacy dei nostri dipendenti.

Focus

Siamo particolarmente interessati a:

  • vulnerabilità nelle nostre applicazioni client, in particolare vulnerabilità che portano a un incremento dei privilegi

  • qualsiasi tipo di accesso non autorizzato ai nostri server VPN

  • vulnerabilità che espongono i dati dei nostri clienti a persone non autorizzate

  • vulnerabilità che indeboliscono, interrompono o sovvertono in altro modo le nostre comunicazioni VPN in modo da esporre il traffico di chiunque utilizzi i nostri prodotti VPN

Inoltre, qualsiasi host accessibile pubblicamente di proprietà o gestito da ExpressVPN, che non è nell'elenco di cui sopra, può essere considerato nell'ambito di applicazione in base ai casi specifici.

Tutte le proprietà di ExpressVPN possono essere considerate incluse. Tuttavia, alcune metodologie di prova sono escluse. In particolare, i test che degradano la qualità del servizio, ad esempio DoS o spam, non saranno inclusi.

Anche le versioni beta pubbliche delle nostre applicazioni rientrano nell'ambito di applicazione. Puoi ottenerle tramite la nostra pagina beta tester.

Esclusi dall'ambito di applicazione

  • Versioni alfa delle nostre applicazioni

  • Ingegneria sociale (ad es. il phishing)

  • Sicurezza fisica dei nostri uffici, server e dipendenti

  • Software di terze parti (tranne nei casi in cui esiste una vulnerabilità sfruttabile a causa di una configurazione errata o del livello di patch)

Safe harbor

Forniamo un "porto sicuro" (Safe Harbor) secondo i termini essenziali di disclose.io.

La sicurezza è fondamentale secondo i nostri valori e apprezziamo il contributo degli hacker che agiscono in buona fede per aiutarci a mantenere uno standard elevato per la sicurezza e la privacy dei nostri utenti. Ciò include l'incoraggiamento alla ricerca e alla divulgazione responsabile delle vulnerabilità. Questa politica stabilisce la nostra definizione di buona fede nel contesto della ricerca e della segnalazione delle vulnerabilità, nonché cosa ci si può aspettare da noi in cambio.

Aspettative

Lavorando con noi secondo questa politica, ecco cosa potrai aspettarti:

  • Estenderemo il porto sicuro per la ricerca sulla vulnerabilità correlata a questa politica

  • Collaboreremo con te per comprendere e convalidare la tua segnalazione, inclusa una tempestiva risposta iniziale alla presentazione

  • Lavoreremo per porre rimedio in modo tempestivo alle vulnerabilità scoperte; e
    riconosceremo il tuo contributo al miglioramento della nostra sicurezza se seiil primo a segnalare una vulnerabilità esclusiva e se il tuo report riguarda una modifica del codice o della configurazione.

Regole di base

Per incoraggiare la ricerca sulle vulnerabilità ed evitare qualsiasi confusione tra pirateria informatica in buona fede e attacchi dannosi, ti chiediamo quanto segue.

  • Gioca rispettando le regole. Ciò include il rispetto di questa politica, così come qualsiasi altro accordo pertinente. In caso di incongruenze tra questa politica e altri termini pertinenti, prevarranno i termini di questa politica.

  • Segnala tempestivamente qualsiasi vulnerabilità che hai scoperto

  • Evita di violare la privacy di altri, interrompere i nostri sistemi, distruggere i dati e/o danneggiare l'esperienza dell'utente

  • Utilizza solo canali ufficiali per discutere con noi delle informazioni sulla vulnerabilità

  • Mantieni riservati i dettagli di eventuali vulnerabilità scoperte fino a quando non vengono risolte, secondo la politica di divulgazione

  • Esegui i test solo sui sistemi in ambito e rispetta i sistemi e le attività che non rientrano nell'ambito

  • Se una vulnerabilità fornisce un accesso non intenzionale ai dati:

    • Limita la quantità di dati a cui accedi al minimo richiesto per dimostrare in modo efficace una prova di concetto; e

    • Interrompi il test e invia immediatamente una segnalazione se durante il test riscontri dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie

  • Dovresti interagire solo con gli account di prova che possiedi o con il permesso esplicito del titolare dell'account

  • Non impegnarti in attività di estorsione

Accordo Safe Harbor (porto sicuro)

Nel condurre le ricerche sulla vulnerabilità secondo questa politica, consideriamo che la ricerca condotta in base a questa politica sia:

  • Autorizzata alla luce di eventuali leggi anti-hacking applicabili e non avvieremo né sosterremo azioni legali contro di te per violazioni accidentali e in buona fede di questa politica

  • Autorizzata alla luce delle leggi antielusione pertinenti e non avvieremo un reclamo contro di te per elusione dei controlli tecnologici;

  • Esente da restrizioni incluse nella nostra Politica di utilizzo accettabile che potrebbero interferire con la conduzione di ricerche sulla sicurezza e rinunciamo a tali restrizioni su base limitata

  • Legale, utile per la sicurezza generale di internet e condotta in buona fede.

Siete tenuti, come sempre, a rispettare tutte le leggi applicabili. Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato questa politica, adotteremo misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

Se in qualsiasi momento hai dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questa politica, invia una segnalazione tramite uno dei nostri canali ufficiali prima di proseguire.

Irripetibile premio bonus da 100.000 dollari

Abbiamo progettato i nostri server VPN per essere sicuri ed elastici, attraverso un sistema chiamato TrustedServer, che migliora notevolmente la sicurezza dei nostri server. Abbiamo fiducia del nostro lavoro in questo settore e puntiamo a garantire server VPN che soddisfino le nostre aspettative di sicurezza. 

Pertanto, stiamo invitando i nostri ricercatori a concentrare i test sui seguenti tipi di problemi di sicurezza all'interno dei nostri server VPN:

  • accesso non autorizzato a un server VPN o esecuzione di codice remoto

  • vulnerabilità nel nostro server VPN che si traducono nell'esposizione degli indirizzi IP reali dei clienti o la capacità di monitorare il traffico degli utenti

Per ottenere questo premio, richiederemo la prova dell'impatto sulla privacy dei nostri utenti. Ciò richiederà la dimostrazione di accesso non autorizzato, esecuzione di codice remoto, esposizione degli indirizzi IP, o la capacità di monitorare il traffico utente non crittografato (non crittografato VPN).

Per rendere questa sfida ancora più eccitante, introdurremo il seguente bonus: la prima persona a presentare una vulnerabilità valida riceverà una ricompensa aggiuntiva di 100.000 dollari. Questo bonus sarà valido fino a quando il premio non sarà stato reclamato.

Ambito

Usiamo TrustedServer come piattaforma per tutti i protocolli che offriamo ai nostri utenti, quindi tutti i nostri server VPN sono considerati in quest'ambito. 

Assicurati che le tue attività rimangano nell'ambito del programma. Ad esempio, i pannelli di amministrazione dei servizi di data center che utilizziamo non rientrano nell'ambito, perché non sono posseduti, ospitati e gestiti da ExpressVPN. Se non sei sicuro che il tuo test sia considerato nell'ambito, contatta support@bugcrowd.com per richiedere una conferma. Se un ricercatore viene scoperto a testare al di fuori dell'ambito di applicazione, non avrà diritto alla ricompensa e ci riserviamo il diritto di rimuoverlo immediatamente dal programma.

Esclusioni

Ci sforziamo di garantire che le nostre sfide siano eque per tutti. Pertanto, i seguenti individui non possono richiedere il bonus per aver scovato per primi un bug critico:

  • dipendenti a full time o part time di ExpressVPN o di qualsiasi altra filiale di Kape Technologies, così come i loro amici e familiari; e

  • appaltatori, consulenti, rappresentanti, fornitori, venditori o qualsiasi altra persona collegata o affiliata a ExpressVPN.

Come inviare una segnalazione

I ricercatori dovrebbero inviare i loro rapporti tramite Bugcrowd. In alternativa, accettiamo anche invii tramite e-mail a security@expressvpn.com.

Nota: ExpressVPN utilizza Bugcrowd per gestire tutti i programmi di bug bounty. L'invio tramite e-mail significa che condivideremo il tuo indirizzo e-mail e condivideremo i contenuti con Bugcrowd ai fini del triage, anche se non sei un membro della piattaforma.

Scopri chi è stato premiato nel nostro programma di bug bounty.