Het Bug Bounty programma van ExpressVPN
ExpressVPN beheert duizenden VPN-servers en maakt platformoverschrijdende VPN-apps voor alle populaire besturingssystemen voor desktop en mobiele apparaten, evenals routers en browserextensies.
Beveiliging is de kern van onze waarden en we waarderen de bijdrage van hackers die te goeder trouw handelen om ons te helpen een hoge standaard te handhaven voor de beveiliging en privacy van onze gebruikers. Dit omvat het aanmoedigen van verantwoordelijk onderzoek naar kwetsbaarheden en het openbaar maken van deze.
We bieden al jaren een intern bug bounty-programma aan en hebben in die tijd duizenden dollars uitgekeerd aan beveiligingsonderzoekers. We hechten veel waarde aan uitstekende technische oplossingen en zijn altijd op zoek naar manieren om de beveiliging van onze producten en diensten te verbeteren.
Doelinformatie
Toepassingsgebied
De volgende producten en diensten bevinden zich binnen het toepassingsgebied:
- *.expressvpn.com
- expressvpn.jobs
- ExpressVPN-API's
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- VPN-servers
- ExpressVPN-router
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- Alle apps op deze pagina https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Focus
We zijn met name geïnteresseerd in:
kwetsbaarheden in onze client applicaties, voornamelijk kwetsbaarheden die tot de verhoging van beperkte rechten leiden;
elk soort onbevoegde toegang tot onze VPN servers;
kwetsbaarheden die onze klantgegevens aan onbevoegde personen blootgeven;
kwetsbaarheden die onze VPN communicatie zodanig verzwakken, breken of ondermijnen dat verkeer van iemand die onze VPN gebruikt, zichtbaar wordt.
Daarnaast kan elke openbaar toegankelijke host die in bezit is van of beheerd wordt door ExpressVPN en niet in bovenstaande lijst genoemd wordt, per geval in overweging genomen worden.
Alle eigendommen van ExpressVPN kunnen als hier opgenomen worden beschouwd. Bepaalde test-methodologieën worden echter uitgesloten. Specifiek, testen die de kwaliteit van diensten verminderen, zoals DoS of spam, zullen buiten beschouwing worden gelaten.
Openbare bètaversies van onze applicatie vallen ook onder het toepassingsgebied. U kunt die verkrijgen via onze bèta-testers pagina.
.
Valt buiten toepassingsgebied
Alle domeinen of subdomeinen die niet worden vermeld in de bovenstaande lijst Toepassingsgebied.
Veilige haven
We bieden een volledig veilige haven volgens de core-terms-GLOBAL van disclose.io.
Veiligheid speelt een centrale rol in onze waarden, en we waarderen de input van ethische hackers om ons te helpen een hoge standaard te behouden voor de veiligheid en privacy van onze gebruikers. Hieronder valt het aanmoedigen van onderzoek en openbaarmaking van verantwoordelijke kwetsbaarheden. Dit beleid definitieert "ethisch" als het zoeken en rapporteren van kwestbaarheden, en ook wat u van ons terug kunt verwachten.
Verwachtingen
Wanneer u met ons samenwerkt volgens dit beleid, kunt u van ons verwachten dat we:
de veilige haven uitbreiden voor uw kwetsbaarheidsonderzoek in verband met dit beleid;met u samenwerken om uw rapport te begrijpen en valideren, met een tijdige eerste reactie van de inzending;
eraan werken om ontdekte kwetsbaarheden tijdig te verhelpen; en
uw bijdrage erkennen aan het verbeteren van onze beveiliging als u de eerste bent die een unieke kwetsbaarheid meldt en uw melding een wijziging van code of configuratie in gang zet.
Basisregels
Om onderzoek naar kwetsbaarheden aan te moedigen en om verwarring tussen ethish hacken en kwaadwillende aanvallen te voorkomen, vragen we het volgende van u.
Speel volgens de regels. Dit omvat het volgen van dit beleid, evenals alle andere relevante overeenkomsten. Als er inconsistentie is tussen dit beleid en andere relevante voorwaarden, hebben de voorwaarden van dit beleid voorrang.
Meld elke door u ontdekte kwetsbaarheid onmiddellijk.
Voorkom het schenden van de privacy van anderen, het verstoren van onze systemen, het vernietigen van gegevens en/of het schaden van de gebruikerservaring.
Gebruik alleen officiële kanalen om informatie over kwetsbaarheden met ons te bespreken.
Houd de details van ontdekte kwetsbaarheden vertrouwelijk totdat ze zijn opgelost, in overeenstemming met het openbaarmakingsbeleid.
Voer alleen tests uit op systemen die binnen het bereik vallen en respecteer systemen en activiteiten die buiten het bereik vallen.
Als een kwetsbaarheid onbedoelde toegang tot gegevens biedt:
beperk de hoeveelheid gegevens waartoe u toegang hebt tot het minimum dat nodig is om een proof of concept effectief te demonstreren; en
stop met testen en dien onmiddellijk een rapport in als u tijdens het testen gebruikersgegevens tegenkomt, zoals persoonlijk identificeerbare informatie (PII), persoonlijke gezondheidsinformatie (PHI), creditcardgegevens of eigendomsinformatie;
U mag alleen communiceren met testaccounts waarvan u de eigenaar bent of met uitdrukkelijke toestemming van de accounthouder.
Doe niet aan afpersing.
Veilige-havenovereenkomst
Als u in het kader van dit beleid kwestbaarheidsonderzoek uitvoert, beschouwen we dat volgens dit beleid als:
geautoriseerd met het oog op toepasselijke anti-hackingwetten, en we zullen geen juridische stappen tegen u starten of ondersteunen wegens onbedoelde ethische schendingen van dit beleid;
geautoriseerd met het oog op relevante anti-omzeilingswetten, en we zullen geen claim tegen u indienen voor het omzeilen van technologiecontroles;
vrijgesteld van beperkingen in ons beleid voor acceptabel gebruik die het uitvoeren van beveiligingsonderzoek zouden verstoren, en we zien op beperkte basis
af van deze beperkingen; en
rechtmatig, nuttig voor de algehele veiligheid van internet en te goeder trouw uitgevoerd.
Er wordt van u verwacht, zoals altijd, dat u alle toepasselijke wetten naleeft. Als er juridische stappen tegen u worden gestart door een derde partij en u heeft voldaan aan dit beleid, zullen we stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.
Als u ooit bezorgd bent of twijfelt of uw beveiligingsonderzoek in overeenstemming is met dit beleid, dien dan een rapport in via een van onze officiële kanalen voordat u verdergaat.
Eenmalige bonusbeloning van US$ 100.000
Wij hebben onze VPN servers ontworpen om ze veilig en weerbaar te maken door middel van een systeem met de naam TrustedServer, dat de veiligheidspositie van onze servers dramatisch verbetert. Wij hebben veel vertrouwen in ons werk op dit gebied, en stellen ons ten doel om erop te kunnen vertrouwen dat onze VPN servers aan onze veiligheidsverwachtingen voldoen.
Daarom nodigen wij onze onderzoekers uit om zich te concentreren op het testen van de volgende typen veiligheidsproblemen binnen onze VPN servers:
ongeauthoriseerde toegang tot een VPN server of codeverwerking op afstand;
kwetsbaarheden in onze VPN server die leiden tot het lekken van het echte IP adres van klanten of tot de mogelijkheid om verkeer van gebruikers te volgen.
Om voor deze beloning in aanmerking te komen, moet u bewijs leveren van de impact op de privacy van onze gebruikers. Dat betekent: het demonstreren van ongeautoriseerde toegang, het verwerken van codes op afstand, het lekken van IP adressen of de mogelijkheid om ongecodeerd (niet-VPN versleuteld) verkeer van gebruikers te volgen.
Om deze uitdaging extra spannend te maken, introduceren wij de volgende bonus: de eerste die een daadwerkelijke kwetsbaarheid aanmeldt, ontvangt een extra bonusprijs van US$ 100.000. Deze bonus blijft beschikbaar totdat de prijs is opgeëist.
Toepassingsgebied
Wij gebruiken TrustedServer als platform voor alle protocollen die wij aan onze gebruikers aanbieden, dus al onze VPN servers vallen onder dit project.
Let er alstublieft op dat uw activiteiten binnen het toepassingsgebied van dit programma blijven. Voorbeeld: admin panels voor datacenter diensten die wij gebruiken, vallen niet onder de reikwijdte van dit programma want ExpressVPN is niet de eigenaar, host of uitvoerder ervan. Als je niet zeker weet of je tests binnen het toepassingsgebied vallen, neem dan eerst contact op met YesWeHack om dit te bevestigen. Als blijkt dat een onderzoeker heeft getest buiten de reikwijdte van dit programma komt hij niet in aanmerking voor een beloning, en wij houden ons het recht voor om diegene direct uit het programma te verwijderen.
Uitsluitingen
Wij streven ernaar om onze uitdagingen te laten verlopen met eerlijke concurrentie. Daarom komen de volgende personen niet in aanmerking voor het claimen van de bonus voor de eerste belangrijke vondst:
full-time of part-time werknemers van ExpressVPN of een willekeurige ander onderdeel van Kape Technologies, evenals hun vrienden of familie;
contractanten, consultants, vertegenwoordigers, leveranciers, verkopers of wie dan ook die relaties heeft, of anders verbonden is, met ExpressVPN.
Hoe dient u een rapport in
Onderzoekers moeten hun rapporten indienen via YesWeHack. Daarnaast accepteren we ook inzendingen via een e-mail naar security@expressvpn.com.
Let op: ExpressVPN gebruikt YesWeHack om alle bug bounty-programma's te beheren. Als je een rapport indient via e-mail, delen we je e-mailadres en de content met YesWeHack voor triage-doeleinden, zelfs als je geen lid van het platform bent.