Program bug bounty ExpressVPN
ExpressVPN obsługuje tysiące serwerów VPN, tworząc wieloplatformowe aplikacje VPN dla wszystkich popularnych systemów operacyjnych na komputery i urządzenia mobilne. Oferujemy także rozwiązania dla routerów i rozszerzenia przeglądarek. Bezpieczeństwo jest dla nas jedną z podstawowych wartości. Cenimy wkład hakerów działających w dobrej wierze, którzy pomagają nam utrzymać wysoki standard bezpieczeństwa i prywatności, by chronić naszych użytkowników. Obejmuje to również zachęcanie do odpowiedzialnego poszukiwania i ujawniania luk w zabezpieczeniach. Od lat prowadzimy wewnętrzny program bug bunty, w ramach którego przekazaliśmy już tysiące dolarów tym, którzy nam pomogli. Zależy nam na tym, by nasze rozwiązania były jak najdoskonalsze, dlatego od zawsze szukamy sposobów na poprawę bezpieczeństwa produktów i usług. Zgłoś błąd
Informacje o celu
Zakres
Zakres obejmuje następujące produkty i usługi:- *.expressvpn.com
- expressvpn.jobs
- Interfejsy API ExpressVPN
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- Serwery VPN
- Router ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Dowolne aplikacje dostępne pod adresem https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Fokus
Szczególnie interesują nas:- Luki w naszych aplikacjach klienckich, zwłaszcza luki prowadzące do eskalacji uprawnień.
- Wszelkiego rodzaju nieautoryzowany dostęp do naszych serwerów VPN.
- Luki, które ujawniają dane naszych klientów osobom nieuprawnionym.
- Luki, które osłabiają, przerywają lub w jakikolwiek inny sposób osłabiają komunikację VPN tak, że ruch użytkownika korzystającego z naszych produktów VPN może zostać ujawniony.
Poza zakresem
Wszystkie domeny lub subdomeny niewymienione powyżej w sekcji „Zakres”.Bezpieczna przystań
Zapewniamy całkowicie bezpieczną przystań, w zgodzie z podstawowymi warunkami określonymi przez define.io – globalnie. Bezpieczeństwo jest kluczową podstawą naszych wartości, dlatego cenimy wkład hakerów działających w dobrej wierze, aby pomóc nam utrzymać wysoki standard ochrony oraz prywatności naszych użytkowników. To obejmuje zachęcanie do odpowiedzialnego badania i ujawniania luk w zabezpieczeniach. Niniejsza polityka określa naszą definicję dobrej wiary w kontekście znajdowania i zgłaszania luk, a także tego, czego możesz od nas oczekiwać w zamian.Oczekiwania
Współpracując z nami zgodnie z tą polityką, możesz oczekiwać, że:- zwiększymy bezpieczną przystań dla Twoich badań, które są powiązane z tą polityką;
- będziemy z Tobą współpracować, by zrozumieć i zweryfikować Twój raport, w tym wstępną odpowiedź na zgłoszenie;
- będziemy pracować nad usunięciem wykrytych luk w odpowiednim czasie; i
- docenimy Twój wkład w poprawę naszej ochrony, jeśli jako pierwsza osoba zgłosisz unikalną lukę w zabezpieczeniach, a Twój raport wpłynie na zmianę kodu lub konfiguracji.
Podstawowe zasady
Aby wspierać badanie luk w zabezpieczeniach i unikać nieporozumień wynikających z różnicy między hakowaniem w dobrej wierze a złośliwym atakiem, prosimy Cię o przestrzeganie następujących zasad.- Graj zgodnie z zasadami. Obejmuje to przestrzeganie polityki, a także wszelkich innych istotnych porozumień. Jeśli istnieje jakakolwiek niezgodność między niniejszą polityką a innymi stosownymi warunkami, pierwszeństwo mają reguły polityki.
- Natychmiast zgłaszaj wszelkie wykryte luki.
- Unikaj naruszania prywatności innych osób, zakłócania pracy naszych systemów, niszczenia danych i/lub szkodzenia doświadczeniu użytkownika.
- Korzystaj tylko z oficjalnych kanałów, aby omawiać z nami informacje dotyczące luk w zabezpieczeniach.
- Zachowaj szczegóły na temat wszelkich wykrytych luk dla siebie, dopóki nie zostaną naprawione (zgodnie z polityką ujawniania informacji).
- Przeprowadzaj testy jedynie na systemach objętych zakresem i przestrzegaj systemów oraz działań, które znajdują się poza zakresem.
- Jeśli luka powoduje niezamierzony dostęp do danych:
- ogranicz ilość danych, do których masz dostęp do minimum wymaganego do skutecznego wykazania dowodu poprawności; i
- zaprzestań testów i natychmiast prześlij raport, jeśli podczas testowania napotkasz jakiekolwiek dane użytkownika, jak dane osobowe (PII), informacje o stanie zdrowia (PHI), dane karty kredytowej lub informacje zastrzeżone;
- Wchodź w interakcje jedynie z kontami testowymi, które należą do Ciebie lub za wyraźną zgodą właściciela konta.
- Nie angażuj się w wymuszenia.
Bezpieczna przystań – porozumienie
Przeprowadzając badania pod kątem luk, zgodnie z niniejszą polityką, uważamy, że owe badania, przeprowadzone w ramach tejże polityki, są:- autoryzowane w świetle wszelkich obowiązujących przepisów dotyczących przeciwdziałania włamaniom i nie będziemy inicjować ani wspierać działań prawnych przeciwko Tobie w przypadku nieumyślnych naruszeń tych zasad w dobrej wierze;
- autoryzowane w świetle odpowiednich przepisów dotyczących obchodzenia zabezpieczeń i nie będziemy wnosić przeciwko Tobie roszczeń z tytułu obchodzenia kontroli technologii;
- zwolnione z ograniczeń określonych w naszej polityce dopuszczalnego użytkowania, które kolidowałyby z przeprowadzaniem badań w kwestii bezpieczeństwa oraz zrzekamy się tychże ograniczeń w limitowanym zakresie; i
- zgodne z prawem, pomocne w kwestii ogólnego bezpieczeństwa Internetu oraz prowadzone w dobrej wierze.
Jednorazowa nagroda w wysokości 100 000 USD
Zaprojektowaliśmy nasze serwery VPN tak, aby były bezpieczne i odporne dzięki systemowi o nazwie TrustedServer, który radykalnie poprawia ich poziom bezpieczeństwa. Jesteśmy pewni naszej pracy w tej dziedzinie i dążymy do tego, aby nasze serwery VPN spełniały nasze oczekiwania w zakresie bezpieczeństwa. W związku z tym zapraszamy naszych badaczy do skoncentrowania się na testowaniu następujących rodzajów problemów bezpieczeństwa na naszych serwerach VPN:- nieautoryzowany dostęp do serwera VPN lub zdalne wykonanie kodu
- luki w naszym serwerze VPN, które powodują wyciek prawdziwych adresów IP klientów lub możliwość monitorowania ruchu użytkowników
Zakres
Używamy TrustedServer jako platformy dla wszystkich protokołów, które oferujemy naszym użytkownikom, więc program obejmuje wszystkie nasze serwery VPN. Upewnij sę, że Twoje działania pozostają w zakresie programu. Na przykład, panele administracyjne dla usług centrum danych, z których korzystamy, są poza zakresem programu, ponieważ nie są własnością, nie są hostowane i nie są obsługiwane przez ExpressVPN. Jeśli nie masz pewności, czy testowany element jest ujęty w zakresie, skontaktuj się z YesWeHack, by uzyskać potwierdzenie. Jeśli okaże się, że przeprowadzasz testy poza zakresem programu, nie będzie w stanieotrzymać nagrody, a my zastrzegamy sobie prawo do natychmiastowego usunięcia Ciię z programu.Wykluczenia
Staramy się, aby nasze wyzwania oferowały równe szanse. Dlatego następujące osoby nie są uprawnione do ubiegania się o premię za pierwsze krytyczne znalezisko:- pełnoetatowi i niepełnoetatii pracownicy ExpressVPN lub pracownicy dowolnej innej filii Kape Technologies, a także ich przyjacele i rodziny; oraz
- wykonawcy, konsultanci, przedstawiciele, dostawcy, sprzedawcy oraz inne osoby związane lub w inny sposób powiązane z ExpressVPN.