ExpressVPN's bug bounty-program

ExpressVPN driver tusindvis af VPN-servere og fremstiller VPN-applikationer på tværs af platforme til alle større operativsystemer samt routere og browserudvidelser.

ExpressVPN tager sikkerheden af sine applikationer og tjenester alvorligt. Vi har tilbudt et internt bug bounty-program i årevis og har tildelt titusinder af dollars til sikkerhedsforskere. Vi værdsætter fremragende teknik og er altid på udkig efter måder at forbedre sikkerheden på vores produkter og tjenester.

Få belønninger med vores bug bounty-program.

Oplysninger om mål

Omfang

Følgende produkter og tjenester er inden omfanget:

  • VPN-servere

  • ExpressVPN-applikationen til iOS

  • ExpressVPN-applikationen til Android

  • ExpressVPN-applikationen til Linux

  • ExpressVPN-applikationen til macOS

  • ExpressVPN-applikationen til Windows

  • ExpressVPN-applikationen til routere

  • ExpressVPN-udvidelsen til Firefox

  • ExpressVPN-udvidelsen til Chrome

  • MediaStreamer DNS-servere

  • ExpressVPN API'er

  • expressvpn.com

  • * .expressvpn.com

  • * .xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Udover de aktiver, der er anført ovenfor, er dette også inden for omfanget:

  • interne systemer, f.eks. medarbejdermails, interne chatbeskeder, kildekodehosting,

  • enhver sårbarhed, der kompromitterer vores medarbejderes privatliv.

Fokus

Vi er især interesserede i:

  • sårbarheder i vores klientapplikationer, især sårbarheder, der fører til eskalering af tilladelser,

  • enhver form for uautoriseret adgang til vores VPN-servere,

  • sårbarheder, der gør vores kundedata synlige for uautoriserede personer

  • sårbarheder, der svækker, bryder eller på anden måde undergraver vores VPN-kommunikation på en måde, der udsætter trafikken for alle, der bruger vores VPN-produkter.

Derudover kan enhver offentligt tilgængelig vært, der ejes eller drives af ExpressVPN, der ikke er på ovenstående liste, betragtes som inden for omfang fra sag til sag.

Alle ExpressVPN-ejendomme kan betragtes som inkluderet. Dog er visse testmetoder udelukket. Specifikt tages tests, der forringer kvaliteten af ​​tjenesten, f.eks. DoS eller spam, ikke i betragtning.

Offentlige beta-versioner af vores applikationer er også inden for omfanget. Du kan få dem via vores betatesterside.

Ikke inden for omfang:

  • Alphaversioner af vores applikationer

  • Social engineering (f.eks. phishing)

  • Fysisk sikkerhed for vores kontorer, servere og medarbejdere

  • Tredjepartssoftware (undtagen i tilfælde, hvor der er en sårbarhed, der kan udnyttes på grund af forkert konfiguration eller patchniveau)

Sikker havn

Vi leverer fuld sikker havn i henhold til disclose.io's core-terms-GLOBAL.

Sikkerhed er kernen i vores værdier, og vi værdsætter input fra hackere, der handler i god tro for at hjælpe os med at opretholde en høj standard for sikkerhed og privatliv for vores brugere. Dette inkluderer tilskyndelse til ansvarlig forskning og afsløring af sårbarhed. Denne politik beskriver vores definition af god tro i sammenhæng med at finde og rapportere sårbarheder samt hvad du kan forvente af os til gengæld.

Forventninger

Når du arbejder med os i henhold til denne politik, kan du forvente, at vi:

  • udvid sikker havn til din sårbarhedsforskning, der er relateret til denne politik;

  • arbejde sammen med dig for at forstå og validere din rapport, herunder en rettidig første reaktion på indsendelsen

  • arbejde på at afhjælpe opdagede sårbarheder rettidigt og

  • erkende dit bidrag til at forbedre vores sikkerhed, hvis du er den første til at rapportere en unik sårbarhed, og din rapport udløser en kode eller en konfigurationsændring.

Grundregler

For at tilskynde til sårbarhedsforskning og for at undgå enhver forveksling mellem god tro-hacking og ondsindet angreb beder vi dig følgende.

  • Spil efter reglerne. Dette inkluderer at følge denne politik samt andre relevante aftaler. Hvis der er nogen uoverensstemmelse mellem denne politik og andre relevante vilkår, vil vilkårene i denne politik have forrang.

  • Rapporter enhver sårbarhed, du har opdaget med det samme.

  • Undgå at krænke andres privatliv, forstyrre vores systemer, ødelægge data og / eller skade brugeroplevelsen.

  • Brug kun officielle kanaler til at diskutere sårbarhedsoplysninger med os.

  • Hold detaljerne om opdagede sårbarheder fortrolige, indtil de er rettet i henhold til oplysningspolitikken.

  • Udfør kun test på systemer inden for anvendelsesområdet og respekter systemer og aktiviteter, der er uden for anvendelsesområdet.

  • Hvis en sårbarhed giver utilsigtet adgang til data:

    • begrænse mængden af ​​data, du har adgang til, det minimum, der kræves for effektivt at demonstrere et bevis på konceptet; og

    • ophøre med at teste og indsende en rapport med det samme, hvis du støder på brugerdata under test, som fx personligt identificerbare oplysninger (PII), personlige sundhedsoplysninger (PHI), kreditkortdata eller ejendomsretlige oplysninger;

  • Du bør kun interagere med testkonti, du ejer, eller med udtrykkelig tilladelse fra kontoindehaveren.

  • Deltag ikke i afpresning.

Safe Harbor-aftale

Når vi udfører sårbarhedsundersøgelser i henhold til denne politik, betragter vi denne forskning udført i henhold til denne politik for at være:

  • autoriseret i lyset af gældende love om anti-hacking, og vi vil ikke indlede eller støtte retslige skridt mod dig for utilsigtet, god tro overtrædelse af denne politik;

  • autoriseret i lyset af relevante love om omgåelse, og vi vil ikke fremsætte krav mod dig for omgåelse af teknologikontrol;

  • undtaget fra begrænsninger i vores politik for acceptabel brug, der ville forstyrre udførelsen af ​​sikkerhedsundersøgelser, og vi frafalder disse begrænsninger på et begrænset grundlag; og

  • lovligt, nyttigt for den generelle sikkerhed på Internettet og gennemført i god tro.

Det forventes, at du som altid overholder alle gældende love. Hvis der indledes juridiske handlinger af en tredjepart mod dig, og du har overholdt denne politik, vil vi tage skridt til at gøre det kendt, at dine handlinger blev udført i overensstemmelse med denne politik.

Hvis du på noget tidspunkt har bekymringer eller er usikker på, om din sikkerhedsundersøgelse er i overensstemmelse med denne politik, skal du indsende en rapport via en af ​​vores officielle kanaler, inden du går videre.

Sådan indsendes en rapport

Forskere skal indsende deres rapporter via Bugcrowd. Alternativt accepterer vi også indsendelser via e-mail til security@expressvpn.com.

Bemærk! ExpressVPN bruger Bugcrowd til at administrere alle bug bounty-programmer. Afsendelse via e-mail betyder, at vi deler din e-mailadresse og deler indhold med Bugcrowd med henblik på triage, selvom du ikke er medlem af platformen.

Find ud af, hvem der er blevet belønnet i vores bug bounty-program.