Программа поиска багов ExpressVPN
ExpressVPN управляет тысячами VPN-серверов и разрабатывает кроссплатформенные VPN-приложения для всех основных настольных и мобильных операционных систем, а также для роутеров и браузеров. Безопасность — одна из наших ключевых ценностей, и мы высоко ценим вклад хакеров, которые действуют добросовестно, помогая нам поддерживать высокий уровень защиты и конфиденциальности данных наших пользователей. Мы всячески поддерживаем ответственное исследование уязвимостей и их раскрытие. Уже много лет у нас действует собственная программа поиска багов, в рамках которой мы выплатили тысячам долларов исследователям безопасности. Мы ценим качественную инженерию и всегда ищем возможности сделать наши продукты и услуги еще более надежными. Сообщить о баге
Целевая информация
Область охвата
Под действие программы подпадают следующие продукты и услуги:- *.expressvpn.com
- expressvpn.jobs
- API ExpressVPN
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- VPN-серверы
- Роутер ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Все приложения на https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Особое внимание
Мы особенно заинтересованы в:- уязвимостях наших клиентских приложений, в частности в уязвимостях, обеспечивающих несанкционированный доступ того или иного уровня,
- неавторизованном доступе к нашим VPN-серверам,
- уязвимостях, открывающих неавторизованный доступ к данным наших клиентов посторонним,
- уязвимостях, способных затруднить, нарушить или иным образом ухудшить работу наших VPN-систем, открыв доступ к трафику пользователей наших VPN-продуктов.
В данную программу не входят
Все домены и поддомены, не указанные в приведенном выше списке «Области охвата».Защита от угроз
Мы обеспечиваем полную защиту от угроз согласно core-terms-GLOBAL от disclose.io. Безопасность — это основа наших ценностей, и мы ценим действия этичных хакеров, помогающих нам поддерживать высокий уровень защищенности и приватности наших пользователей, в том числе за счет ответственного поиска уязвимостей и разглашения соответствующих фактов. Данная политика устанавливает наше определение этичности в контексте поиска и уведомления об уязвимостях, а также определяет наши ответные действия.Ожидания
Сотрудничая с нами в рамках данной политики, вы можете ожидать от нас:- расширенной защиты для вашего исследования на предмет уязвимостей, проводящегося в связи с данной политикой;
- сотрудничества с целью изучения и оценки вашего сообщения, в том числе своевременного извещения о получении вашего материала;
- своевременного устранения найденных уязвимостей; и
- признания вашего вклада в повышение безопасности наших продуктов, если найденные вами уязвимости окажутся уникальными, а ваше сообщение приведет к изменению программного кода или настроек наших продуктов.
Основные правила
Чтобы избежать путаницы между этичным хакингом и вредоносной атакой, а также в рамках организации работы по поиску уязвимостей мы просим вас:- Соблюдать правила, в том числе данную политику и любые другие релевантные соглашения. В случае несоответствия положений данной политики положениям других релевантных соглашений приоритет остается за данной политикой.
- Своевременно сообщаться о любых найденных уязвимостях.
- Не нарушать приватность других пользователей, не нарушать работу наших систем, не уничтожать данные и не ухудшать пользовательский опыт.
- Использовать для обсуждения с нами информации об уязвимостях только официальные каналы.
- Не распространять сведения о найденных уязвимостях до момента их устранения, как того требует политика неразглашения.
- Проводить тестирование только тех систем, которые входят в фокус данной программы, и не тестировать системы и действия, не входящие в фокус данной программы.
- Если уязвимость открывает непреднамеренный доступ к данным:
- ограничить объем данных, к которому был получен доступ, минимально необходимым для доказательства наличия уязвимости; и
- прекратить тестирование и немедленно сообщить о найденной уязвимости, если в процессе тестирования вы получите доступ к любым пользовательским данным, в том числе к сведениям, позволяющим установить личность пользователя (PII), личным медицинским данным (PHI), данным банковских карт или иной проприетарной информации;
- Использовать для тестирования только принадлежащие вам учетные записи или учетные записи других лиц, предоставших вам соответствующее и явно выраженное разрешение.
- Не заниматься вымогательством и шантажом.
Соглашение о защите от угроз
Мы рассматриваем исследование на предмет наличия уязвимостей, проводимое в рамках данной политики, как отвечающее следующим критериям:- оно не противоречит любым актуальным законам о противодействии хакерству, при этом мы не подадим на вас в суд за случайные и обоснованные нарушения данной политики;
- оно не противоречит любым актуальным законам, запрещающим использование обходных путей, при этом мы не подадим на вас в суд за обход использованных технологий управления;
- оно освобождено от ограничений, описанных в Политике приемлемого использования, которые могут затруднить проведения исследования, при этом мы ограниченным образом избавляем вас от необходимости соблюдать эти ограничения; и
- оно проводится с добрыми намерениями и помогает сделать Интернет безопаснее.
Единовременная премия в размере 100 000 долларов США
Мы создали новую серверную технологию TrustedServer, которая значительно повысила уровень безопасности наших VPN-серверов и их устойчивость к отказу. Мы уверены в этой новой системе и стремимся к тому, чтобы наши VPN-серверы соответствовали нашим ожиданиям в плане безопасности. В связи с этим мы просим исследователей сосредоточить свое внимание на тестировании следующих проблем безопасности, связанных с VPN-серверами:- несанкционированный доступ к VPN-серверу или удаленное выполнение кода;
- уязвимости в нашем VPN-сервере, которые приводят к утечке настоящих IP-адресов наших пользователей или возможности отслеживать пользовательский трафик.
Область применения
Технология TrustedServer используется для всех протоколов, которые мы предлагаем нашим пользователям, поэтому все наши VPN-серверы охвачены этой программой. Пожалуйста, убедитесь, что ваше тестирование не выходит за рамки программы. Например, используемые нами панели администраторов для дата-центров не входят в сферу действия программы, поскольку они не принадлежат ExpressVPN и не управляются нашей компанией. Если вы не уверены, входит ли ваше тестирование в область охвата, пожалуйста, сначала свяжитесь с командой YesWeHack для подтверждения. Если будет обнаружено, что ваше тестирование проводилось вне рамок программы, то вы не сможете претендовать на вознаграждение, и мы оставляем за собой право немедленно исключить такого исследователя из программы.Исключения
Мы стремимся к тому, чтобы все тестирования проходили в равных условиях. В связи с этим следующие лица не имеют права претендовать на премию:- сотрудники ExpressVPN или любой другой дочерней компании Kape Technologies, работающие полный или неполный рабочий день, а также их друзья и члены семьи;
- подрядчики, консультанты, представители, поставщики, продавцы или любые другие лица, связанные тем или иным образом с ExpressVPN.