ExpressVPNのバグバウンティプログラム
ExpressVPNは、何千ものVPNサーバーを運営し、主要なデスクトップおよびモバイルオペレーティングシステム向けはもちろん、ルーターやブラウザ拡張機能向けにもクロスプラットフォームのVPNアプリケーションを提供しています。 セキュリティは弊社の価値観の中心であり、ユーザーのために高いセキュリティとプライバシーの基準を維持するべく、善意で行動するハッカーの意見を善処しています。これには、信頼できる脆弱性の調査および報告を奨励することも含まれます。 弊社では長年にわたり社内のバグ報奨金プログラム(バグバウンティ)を提供しており、その間に多くのセキュリティ研究者に数千ドルの報奨金を支払ってきました。弊社は卓越したエンジニアリングを重視しており、製品とサービスのセキュリティを常に改善する方法を模索しています。 バグを報告する
対象情報
スコープ
下記の製品とサービスが対象です。- *.expressvpn.com
- expressvpn.jobs
- ExpressVPN API
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- VPNサーバー
- ExpressVPNルーター
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- https://www.expressvpn.com/latestの全アプリケーション
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
フォーカス
特に以下のことに関心を持っています。- 弊社のクライアントアプリケーションにおける脆弱性。特に権限昇格につながる脆弱性
- 種類を問わない弊社VPNサーバーへの不正アクセス
- 弊社のユーザーデータを権限のない人に晒す脆弱性
- 弊社のVPN製品を使用してユーザーのトラフィックを晒すという方法で、弊社のVPN通信を弱体化、破壊、その他の方法で弊社のVPN通信を腐敗する脆弱性
範囲外
上記の「スコープ」に含まれないドメインやサブドメインは対象外です。セーフハーバー
弊社は、disclose.ioのcore-terms-GLOBALに従って、完全なセーフハーバーを提供しています。 セキュリティは弊社の価値観の核心であり、弊社は、ユーザーのためのセキュリティとプライバシーの高い基準を維持するために、誠実に行動するハッカーの意見を尊重しています。これには、責任ある脆弱性の調査と開示を奨励することも含まれます。このポリシーでは、脆弱性の発見と報告に関する弊社の誠意の定義と、ユーザーが弊社に何を期待できるかについて説明します。期待できること
このポリシーに基づいて弊社と協力して作業を行う際には、弊社から以下のことを期待することができます。- 本ポリシーに関連する脆弱性調査にセーフハーバーを拡大すること
- 提出された報告書に対するタイムリーな初期対応を含め、報告書を理解し、検証するための協力
- 発見された脆弱性を適時に修正するための作業
- 固有の脆弱性を最初に報告していただき、その報告がコードや設定の変更のきっかけとなった場合、弊社のセキュリティ向上への貢献を認めること
基本的なルール
脆弱性調査を奨励し、善意のハッキングと悪意の攻撃が混同されないよう、以下のようにお願いします。- ルールに従ってください。これには、本ポリシーおよびその他の関連する契約に従うことが含まれます。本ポリシーと他の関連する規約との間に矛盾がある場合は、本ポリシーの規約が優先されます
- 発見した脆弱性を速やかに報告してください
- 他人のプライバシーを侵害したり、弊社のシステムを混乱させたり、データを破壊したり、ユーザー体験を損なうような行為は避けてください
- 脆弱性に関する情報を弊社と議論する際には、公式チャンネルのみを使用してください
- 発見された脆弱性の詳細については、開示方針に従い、修正されるまで秘密にしてください
- 範囲内のシステムのみを対象にテストを実施し、範囲外のシステムや活動を尊重してください
- 脆弱性によりデータへの意図しないアクセスが発生した場合は、
- アクセスするデータ量を、概念実証を効果的に実証するために必要な最小限に制限してください
- テスト中に個人を特定できる情報(PII)、個人医療情報(PHI)、クレジットカード情報、または専有情報などのユーザーデータに遭遇した場合は、テストを中止し、直ちに報告書を提出してください
- ご自身が所有しているテストアカウント、またはアカウント所有者の明示的な許可を得ているテストアカウントでのみやりとりする必要があります
- 恐喝行為をしてはいけません
セーフハーバー契約
本ポリシーに基づいて脆弱性調査を行う場合、弊社は、本ポリシーに基づいて行われる本調査を以下のように考えます。- 適用されるハッキング防止法に照らして認可されており、弊社は、本ポリシーの偶発的な善意の違反に対して、ご参加者対して法的措置を開始したり、支援することはありません
- 関連する不正行為防止法の観点から承認されており、弊社は、技術管理の不正行為を理由に研究員に対してクレームを提起しません
- セキュリティ調査の実施を妨げるような弊社の利用規定の制限は免除されており、弊社は限定的にこれらの制限を放棄しています
- 合法的に、インターネットの全体的なセキュリティに役立ち、誠意を持って行われていること
一回限りの報奨金10万米ドルボーナス
私たちは、TrustedServerと呼ばれるシステムによって、VPNサーバーを安全かつレジリエントに設計し、サーバーのセキュリティ体制を劇的に向上させました。私たちはこの分野での仕事に自信を持っており、弊社のVPNサーバーが期待通りのセキュリティ水準に達することを目標としています。 そのため、VPNサーバーにおける以下のようなセキュリティ上の問題点を重点的にテストするために、研究員を招いています。- 権限のないVPNサーバーへのアクセスやリモートコード実行
- 弊社のVPNサーバーの脆弱性により、クライアントの実際のIPアドレスが漏洩したり、ユーザーのトラフィックの監視につながること
スコープ
弊社では、TrustedServerをユーザーに提供しているすべてのプロトコルのプラットフォームとして使用しています。そのため、すべての弊社のVPNサーバーが対象範囲です。 ご自身の活動がプログラムのスコープ内であることをご確認ください。例えば、弊社が利用するデータセンターサービスの管理パネルは、ExpressVPNが所有、ホスト、および運営するものではないため、スコープの範囲外です。行っているテストがスコープ内か判断できない場合には、先ずYesWeHackにお問い合わせください。 範囲外のテストを行ったことが判明した研究員は、報酬の対象外となり、弊社はその個人をプログラムから直ちに排除する権利を有します。除外項目
私たちは、チャレンジが公平な競争の場で行われるように努めています。従って、以下の方は第一の重大事項発見者としてボーナスを請求することはできません。- ExpressVPNまたはKape Technologiesの他の子会社の正社員またはパートタイム社員、およびその友人と家族
- ExpressVPNの請負業者、コンサルタント、代表者、サプライヤ、ベンダー、またはその他の関係、または協力する人物