Le programme de chasse aux bugs d'ExpressVPN
ExpressVPN exploite des milliers de serveurs VPN et propose des applications VPN multiplateformes pour tous les principaux systèmes d'exploitation de bureau et de smartphones, les extensions de navigateur, ainsi que pour les routeurs. La sécurité est au cœur de nos priorités et nous apprécions la contribution de hackers éthiques afin de nous aider à maintenir un niveau élevé de sécurité et de protection de la vie privée de nos utilisateurs. Nous encourageons notamment la recherche et la divulgation responsables de vulnérabilités. Nous proposons depuis des années un programme interne de primes à la détection de bogues et avons versé des milliers de dollars à des chercheurs en sécurité au cours de cette période. Nous accordons une grande importance à l'excellence de l'ingénierie et sommes toujours à la recherche de moyens d'améliorer la sécurité de nos produits et services. Signaler un Bug
Information sur les cibles
Champ d'application
Les produits et services suivants sont concernés :- *.expressvpn.com
- expressvpn.jobs
- API ExpressVPN
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- Serveurs VPN
- Routeur ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Toutes les applications ci-contre : https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Focalisation
Nous nous intéressons particulièrement aux :- failles dans nos applications client, plus particulièrement les failles qui conduiraient à une élévation des privilèges utilisateur,
- tout sorte d'accès non autorisée sur nos serveurs VPN,
- failles qui exposernt les données de nos clients à des personnes non autorisées,
- failles qui pourraient compromettre, briser, ou contourner nos communications VPN de manière à exposer l'activité de quiconque utilisant nos produits VPN.
Hors du champ d'application
Tous les domaines ou sous-domaines qui ne figurent pas dans la liste des « champs d'application » ci-dessus.Sphère de sécurité
Nous fournissons une sphère de sécurité complète en concordance avec les termes-clés-GLOBAL de disclose.io. La sécurité est au coeur de nos valeurs et nous donnons beaucoup d'importance aux contributions des hackers de bonne foi qui nous aident à maintenir la sécurité et la vie privée de nos utilisateurs à un standard élevé. Cela inclut l'encouragement à une recherche de faille et une divulgation éthiques. Cette politique met en exergue notre définition de « bonne foi » dans le contexte de recherche et de signalement de failles, ainsi que ce que vous pouvez attendre de nous en retour.Attentes
Lorsque vous collaborez avec nous en accord avec cette politique, voici ce que vous pouvez attendre de nous :- extension de la sphère de sécurité pour votre recherche de failles qui est liée à cette politique ;
- collaboration avec vous pour comprendre et valider votre rapport, incluant une première réponse rapide à la soumission de rapport ;
- travail rapide pour remédier aux failles découvertes ; et
- reconnaissance de votre contribution à l'amélioration de notre sécurité si vous êtes le premier à rapporter une faille unique, et que votre rapport implique un changement de code ou de configuration.
Règles de base
Pour encourager la recherche de failles et éviter toute confusion entre le piratage de bonne foi et l'attaque malicieuse, voici ce que nous attendons de vous.- Respect des règles. Cela inclut le suivi de cette politique ainsi que d'autres accords correspondants. S'il y a des incohérences entre cette politique et d'autres termes correspondants, les termes de cette politique prévaudront.
- Soumission rapide de toute faille que vous découvrez.
- Abstention de violer la vie privée des autres, perturber nos systèmes, détruire des données, et/ou menacer l'expérience utilisateur.
- Recours uniquement aux chaînes officielles pour discuter d'informations sensibles avec nous.
- Maintien confidentiel des détails de toutes failles découvertes jusqu'à ce que ces derniers soient réparées, en accord avec la politique de divulgation.
- Réalisation des tests uniquement sur des systèmes appartenant au champ d'application, et respect des systèmes et activités qui ne font pas partie du champ d'application.
- Si une faille fournit un accès involontaire à des données :
- limitez au minimum requis le nombre de données auxquelles vous accédez pour démontrer efficacement une Preuve de Concept ; et
- arrêtez le test et soumettez un rapport immédiatement si vous trouvez une donnée d'utilisateur durant le test, comme des données personnelles, des informations de santé protégées, des données de carte de crédit, ou des informations de propriétés ;
- Interaction uniquement avec des comptes test qui vous appartiennent ou avec une permission explicite du propriétaire de compte.
- Non pratique d'extorsion.
Accord de sphère de sécurité
Lors d'une recherche de faille en accord avec cette politique, nous considérons cette recherche conduite sous cette politique comme étant :- autorisée en vue de toutes lois anti-piratages applicables, et nous n'initierons ou n'appuyerons pas d'action légale contre vous pour des violations accidentelles et de bonne foi de cette politique ;
- autorisée en vue des lois anti-contournements applicables, et nous ne porterons pas plainte contre vous pour le contournement des contrôles de technologie ;
- exempté de restrictions dans notre Politique d'Utilisation Acceptable qui interfèrerait avec la conduite d'une recherche de sécurité, et nous levons ces restrictions de manière limitée ; et
- légale, utile à la sécurité globale d'Internet, et mené avec bonne foi.
Prime unique de 100 000 $
Nous avons développé nos serveurs VPN pour garantir leur sécurité et leur fiabilité grâce à une technologie VPN appelée TrustedServer, qui améliore considérablement la sécurité de nos serveurs. Nous sommes très confiants de la qualité de notre travail dans ce domaine et nous nous engageons à faire en sorte que nos serveurs VPN répondent aux attentes de nos utilisateurs en matière de sécurité. Ainsi, nous invitons nos experts en cybersécurité à orienter leurs tests sur les types de problèmes de sécurité suivants dans nos serveurs VPN :- Accès non autorisé à un serveur VPN ou exécution d'un code à distance
- Des vulnérabilités dans notre serveur VPN qui entraînent la fuite des adresses IP des clients ou la possibilité de surveiller le trafic internet des utilisateurs
L'objet de la récompense
Nous utilisons TrustedServer comme plateforme pour tous nos protocoles VPN. Tous nos serveurs VPN sont donc intégrés dans cette plateforme. Assurez-vous de limiter vos activités au programme défini par ExpressVPN. Par exemple, les panneaux d'administration pour les services de centres de données que nous utilisons sont hors du champ d'application de ce programme, car ils ne sont pas détenus, hébergés et exploités par ExpressVPN. Si vous n'êtes pas sûr que votre test soit considéré comme faisant partie du champ d'application, veuillez contacter YesWeHack pour le confirmer. Un auditeur dont les tests sont hors du champ d'application de ce programme ne pourra pas prétendre à une récompense. Nous nous réservons le droit de retirer immédiatement l'auditeur indépendant du programme.Les exclusions
Nous nous engageons à garantir des conditions de concurrence équitables pour nos candidats. Ainsi, les personnes suivantes ne peuvent pas prétendre à la prime pour la première découverte effective d'un bug :- Les employés à temps plein ou à temps partiel d'ExpressVPN ou de toute autre filiale de Kape Technologies, ainsi que leurs amis et leurs familles.
- Les entrepreneurs, les consultants, les représentants, les fournisseurs, les vendeurs ou toute autre personne liée ou affiliée à ExpressVPN.