ExpressVPN's bug bounty-program

ExpressVPN betjener tusindvis af VPN-servere og foretager VPN-anvendelser på tværs af platforme for alle større pc- og mobiloperativsystemer såvel som routere og browserudvidelser.

Sikkerhed er centralt for vores værdier, og vi værdsætter input fra hackere, som optræder i god tro til at hjælpe os med at bevare høje standarder for vores brugeres sikkerhed og privatliv. Det omfatter fremmelse af ansvarlig sårbarhedsresearch- og afsløring. 

Vi har i mange år tilbudt et internt bug-dusørprogram og udbetalt tusindvis af dollars til sikkerhedsresearchere i løbet af den tid. Vi værdsætter fremragende tilrettelæggelse og søger altid måder at forbedre vores produkter og tjenesters sikkerhed.

Få belønninger med vores bug bounty-program.

Målinformation

Omfang

Følgende produkter og tjenester er omfattet:

VPN-servere

Fokus

Vi er især interesserede i:

  • sårbarheder i vores klientapplikationer, især sårbarheder, der fører til eskalering af tilladelser,

  • enhver form for uautoriseret adgang til vores VPN-servere,

  • sårbarheder, der gør vores kundedata synlige for uautoriserede personer

  • sårbarheder, der svækker, bryder eller på anden måde undergraver vores VPN-kommunikation på en måde, der udsætter trafikken for alle, der bruger vores VPN-produkter.

Derudover kan enhver offentligt tilgængelig vært, der ejes eller drives af ExpressVPN, der ikke er på ovenstående liste, betragtes som inden for omfang fra sag til sag.

Alle ExpressVPN-ejendomme kan betragtes som inkluderet. Dog er visse testmetoder udelukket. Specifikt tages tests, der forringer kvaliteten af ​​tjenesten, f.eks. DoS eller spam, ikke i betragtning.

Offentlige beta-versioner af vores applikationer er også inden for omfanget. Du kan få dem via vores betatesterside.

Ikke inden for omfang:

Alle domæner eller underdomæner, som ikke er angivet i ovenstående liste over ”omfang”.

Sikker havn

Vi leverer fuld sikker havn i henhold til disclose.io's core-terms-GLOBAL.

Sikkerhed er kernen i vores værdier, og vi værdsætter input fra hackere, der handler i god tro for at hjælpe os med at opretholde en høj standard for sikkerhed og privatliv for vores brugere. Dette inkluderer tilskyndelse til ansvarlig forskning og afsløring af sårbarhed. Denne politik beskriver vores definition af god tro i sammenhæng med at finde og rapportere sårbarheder samt hvad du kan forvente af os til gengæld.

Forventninger

Når du arbejder med os i henhold til denne politik, kan du forvente, at vi:

  • udvid sikker havn til din sårbarhedsforskning, der er relateret til denne politik;

  • arbejde sammen med dig for at forstå og validere din rapport, herunder en rettidig første reaktion på indsendelsen

  • arbejde på at afhjælpe opdagede sårbarheder rettidigt og

  • erkende dit bidrag til at forbedre vores sikkerhed, hvis du er den første til at rapportere en unik sårbarhed, og din rapport udløser en kode eller en konfigurationsændring.

Grundregler

For at tilskynde til sårbarhedsforskning og for at undgå enhver forveksling mellem god tro-hacking og ondsindet angreb beder vi dig følgende.

  • Spil efter reglerne. Dette inkluderer at følge denne politik samt andre relevante aftaler. Hvis der er nogen uoverensstemmelse mellem denne politik og andre relevante vilkår, vil vilkårene i denne politik have forrang.

  • Rapporter enhver sårbarhed, du har opdaget med det samme.

  • Undgå at krænke andres privatliv, forstyrre vores systemer, ødelægge data og / eller skade brugeroplevelsen.

  • Brug kun officielle kanaler til at diskutere sårbarhedsoplysninger med os.

  • Hold detaljerne om opdagede sårbarheder fortrolige, indtil de er rettet i henhold til oplysningspolitikken.

  • Udfør kun test på systemer inden for anvendelsesområdet og respekter systemer og aktiviteter, der er uden for anvendelsesområdet.

  • Hvis en sårbarhed giver utilsigtet adgang til data:

    • begrænse mængden af ​​data, du har adgang til, det minimum, der kræves for effektivt at demonstrere et bevis på konceptet; og

    • ophøre med at teste og indsende en rapport med det samme, hvis du støder på brugerdata under test, som fx personligt identificerbare oplysninger (PII), personlige sundhedsoplysninger (PHI), kreditkortdata eller ejendomsretlige oplysninger;

  • Du bør kun interagere med testkonti, du ejer, eller med udtrykkelig tilladelse fra kontoindehaveren.

  • Deltag ikke i afpresning.

Safe Harbor-aftale

Når vi udfører sårbarhedsundersøgelser i henhold til denne politik, betragter vi denne forskning udført i henhold til denne politik for at være:

  • autoriseret i lyset af gældende love om anti-hacking, og vi vil ikke indlede eller støtte retslige skridt mod dig for utilsigtet, god tro overtrædelse af denne politik;

  • autoriseret i lyset af relevante love om omgåelse, og vi vil ikke fremsætte krav mod dig for omgåelse af teknologikontrol;

  • undtaget fra begrænsninger i vores politik for acceptabel brug, der ville forstyrre udførelsen af ​​sikkerhedsundersøgelser, og vi frafalder disse begrænsninger på et begrænset grundlag; og

  • lovligt, nyttigt for den generelle sikkerhed på Internettet og gennemført i god tro.

Det forventes, at du som altid overholder alle gældende love. Hvis der indledes juridiske handlinger af en tredjepart mod dig, og du har overholdt denne politik, vil vi tage skridt til at gøre det kendt, at dine handlinger blev udført i overensstemmelse med denne politik.

Hvis du på noget tidspunkt har bekymringer eller er usikker på, om din sikkerhedsundersøgelse er i overensstemmelse med denne politik, skal du indsende en rapport via en af ​​vores officielle kanaler, inden du går videre.

Sådan indsendes en rapport

Researchere skal sende deres rapporter via YesWeHack. Alternativt accepterer vi også indsendelser via e-mail til security@expressvpn.com.

Bemærk: ExpressVPN bruger YesWeHack til at administrere alle bug-dusørprogrammer. Hvis du sender via e-mail, betyder det, at vi deler din e-mailadresse og deler indhold med YesWeHack for at triage, selv hvis du ikke er medlem af platformen

Find ud af, hvem der er blevet belønnet i vores bug bounty-program.