El programa de Bug Bounty de ExpressVPN
ExpressVPN opera miles de servidores VPN y desarrolla apps VPN multiplataforma para todos los sistemas operativos de equipos de escritorio y dispositivos móviles más importantes, así como para routers y extensiones de navegador.
En nuestros valores, la seguridad es el centro de todo y valoramos enormemente los comentarios de los hackers que actúan de buena fe para ayudarnos a mantener un elevado estándar de seguridad y privacidad para nuestros usuarios. Entre otras cosas, fomentamos la investigación y divulgación responsable de vulnerabilidades.
Llevamos años ofreciendo un programa interno que recompensa la detección de bugs y en ese tiempo hemos pagado miles de dólares a investigadores de seguridad. Valoramos la excelencia en la ingeniería y siempre buscamos formas de mejorar la seguridad de nuestros productos y servicios.
Información objetivo
Ámbito
Los siguentes productos y servicios se encuentran dentro de este ámbito:
- *.expressvpn.com
- expressvpn.jobs
- API de ExpressVPN
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- Servidores VPN
- Router ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Cualquier aplicación que se encuentre en https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Enfoque
Estamos particularmente interesados en:
Vulnerabilidades en nuestras aplicaciones de cara al cliente, especialmente vulnerabilidades que lleven a un incremento de privilegios.
Cualquier tipo de acceso no autorizado a nuestros servidores de VPN.
Vulnerabilidades que expongan los datos de nuestros clientes a personas no autorizadas.
Vulnerabilidades que debiliten, rompan o subviertan nuestras comunicaciones de VPN de tal manera que quede expuesto el tráfico de cualquier persona que use nuestros productos de VPN.
Adicionalmente, cualquier host públicamente accesible que sea propiedad o sea operado por ExpressVPN y que no aparezca en la lista anterior podrá considerarse dentro del ámbito en casos específicos.
Todas las propiedades de ExpressVPN pueden considerarse incluidas. Sin embargo, ciertos métodos de prueba se excluyen. Específicamente pruebas que degraden la calidad del servicio, como DoS o spam, no se considerarán incluidas.
Las versiones beta públicas de nuestras aplicaciones también se encuentran incluidas. Usted puede obtenerlas en nuestra página para usuarios beta.
Fuera del ámbito
Todos los dominios y subdominios que no aparezcan en la lista “Ámbito” anterior.
Puerto seguro
Ofrecemos puerto seguro según los lineamientos de disclose.io core-terms-GLOBAL
La seguridad es uno de nuestros principales valores y apreciamos mucho los aportes de los hackers que actúan de buena fe para ayudarnos a mantener unos altos estándares de seguridad y privacidad para nuestros usuarios. Esto incluye fomentar unas investigaciones y divulgación responsables de vulnerabilidades. Esta política establece nuestra definición de buena fe en el contexto de hallar y reportar vulnerabilidades, así como de lo que se puede esperar de nosotros a cambio.
Expectativas
Al trabajar con nosotros en base a esta política, usted puede esperar que nosotros:
Ofrezcamos puerto seguro a su investigación de vulnerabilidad relacionada con esta política
Trabajemos con usted para comprender y validar su informe, incluyendo una respuesta inicial oportuna a su envío.
Trabajemos para remediar vulnerabilidades descubiertas de manera oportuna, y
Otorguemos reconocimiento a su contribución con nuestra seguridad si usted es el primero en reportar una vulnerabilidad única y si reporte genera un cambio en el código o en la configuración
Reglas básicas
Para fomentar las investigaciones de vulnerabilidades y para evitar cualquier confusión entre hackeos de buena fe y ataques malintencionados, le solicitamos lo siguiente.
Cumpla con las reglas. Esto incluye seguir lo establecido en esta política, así como cualquier otro acuerdo relevante. Si hubiese cualquier inconsistencia entre esta política y otros términos relevantes, los términos de esta política prevalecerán
Reporte cualquier vulnerabilidad que haya descubierto de manera oportuna
Evite vulnerar la privacidad de los demás, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario
Use solamente los canales oficiales para discutir con nosotros información acerca de las vulnerabilidades
Mantenga la confidencialidad de cualesquiera vulnerabilidades que haya descubierto hasta que se hayan reparado, según la política de divulgación
Ejecute pruebas solamente en sistemas pertinentes y respete los sistemas y actividades que no sean pertinentes
En caso de que una vulnerabilidad le brinde acceso a los datos:
Limite la cantidad de datos a los que acceda al mínimo requerido para garantizar la efectividad
Cese de realizar pruebas y envíe inmediatamente un informe si encuentra cualquier dato perteneciente a los usuarios durante las pruebas, como información personal identificable (IPI), información personal médica (IPM), información de tarjetas de crédito o información confidencial
Solo debe interactuar con las cuentas de prueba que sean de su propiedad o con autorización explícita del propietario
No perpetrar extorsión
Acuerdo de puerto seguro
Al realizar estudios de vulnerabilidad según esta política, consideraremos que la investigación realizada bajo esta política estará:
Autorizada en vista de cualquier ley anti hackeo aplicable, por lo que no iniciaremos ni apoyaremos acciones legales contra usted por violaciones accidentales y en buena fe de esta política
Autorizada en vista de cualquier ley contra evasión, por lo que no entablaremos querellas contra usted por evadir los controles tecnológicos
Exenta de restricciones en nuestra Política de Uso Aceptable que interfiera con la realización de las investigaciones de seguridad, y renunciamos a dichas restricciones de manera limitada, y
Será legal, en beneficio de la seguridad de internet en general y llevada a cabo de buena fe.
Como siempre, de usted se espera un fiel cumplimiento de todas las leyes aplicables. En caso de que un tercero emprendiese acciones legales contra usted y usted ha cumplido con esta política, tomaremos acciones para hacer saber que sus acciones se realizaron de conformidad con esta política.
Si en cualquier momento le surgen preocupaciones o inquietudes acerca de si su investigación es acorde con esta política, envíe un informe mediante uno de nuestros canales oficiales antes de proseguir.
Incentivo único de 100.000 USD
Hemos diseñado nuestros servidores VPN para que sean seguros y resistentes mediante un sistema llamado TrustedServer, que mejora radicalmente las condiciones de seguridad de nuestros servidores. Tenemos una gran confianza en el trabajo que hemos realizado en esta área, y nuestro objetivo es garantizar que nuestros servidores VPN cumplan con nuestras expectativas de seguridad.
Por tanto, invitamos a nuestros investigadores a que enfoquen sus pruebas en los siguientes tipos de problemas de seguridad en nuestros servidores de VPN:
Acceso no autorizado a un servidor VPN o ejecución remota de código.
Vulnerabilidades en nuestro servidor de VPN que produzcan filtraciones de las direcciones IP reales de nuestros clientes o la capacidad de monitorear el tráfico de los usuarios.
Para poder cobrar la recompensa, la persona deberá suministrar evidencias del impacto en la privacidad de nuestros usuarios. Esto requiere de una demostración de un acceso no autorizado, ejecución remota de código, filtración de dirección IP o la capacidad de monitorear tráfico no encriptado (no encriptado por VPN) de los usuarios.
Para que este desafío resulte más interesante, ofrecemos el siguiente incentivo: la primera persona en enviarnos una vulnerabilidad válida recibirá una recompensa adicional de 100.000 USD. Este incentivo será válido hasta que se cobre la recompensa.
Ámbito
Usamos TrustedServer como plataforma para todos los protocolos que ofrecemos a nuestros usuarios, así que todos nuestros servidores VPN están incluidos en el ámbito de este incentivo.
Por favor, asegúrense de que sus actividades se encuentren dentro del ámbito del programa. Por ejemplo, los paneles de administración para servicios de centros de datos que utilizamos no están dentro del ámbito, porque no pertenecen, no están alojados y no son operados por ExpressVPN. Si no estás seguro de si tus tests están incluidos en el ámbito, contacta antes con YesWeHack para confirmarlo. Aquellos investigadores que estén haciendo pruebas fuera del ámbito no serán elegibles para recompensas, y nos reservamos el derecho de eliminarlos inmediatamente del programa.
Exclusiones
Nos esforzamos por procurar que nuestros desafíos se realicen en igualdad de condiciones para los participantes. Así, los siguientes individuos no serán elegibles para cobrar el incentivo por el primer descubrimiento clave:
Empleados a tiempo completo o tiempo parcial de ExpressVPN o cualquier otra subsidiaria de Kape Technologies, así como sus familiares o amigos, y
Contratistas, consultores, representantes, proveedores o cualquier otra persona relacionada o de algún otro modo afiliada con ExpressVPN.
Cómo enviar un reporte
Los investigadores deberán enviar sus informes a través de YesWeHack. Alternativamente, aceptamos también envíos por correo a security@expressvpn.com.
Ten en cuenta que: ExpressVPN usa YesWeHack para gestionar todos los programas de recompensas por encontrar bugs. Cuando lo envías por correo electrónico, eso significa que compartiremos tu dirección de correo electrónico y también compartiremos el contenido con YesWeHack con fines de triaje, aunque no seas miembro de la plataforma.
Entérese de quién ha sido recompensado en nuestro programa de "bug bounty".