ExpressVPN:s bug bounty-program

Omfattning

Följande produkter och tjänster inkluderas i omfattningen:

• *.expressvpn.com
• expressvpn.jobs
• ExpressVPN-API:er
• https://xv-cp.apis-staging.xvtest.net/
• https://cp.expressapisv2.net
• https://api.expressvpn.com
• https://api.enc.kape.com
• https://api.dbs.kape.com
• https://api.dts.kape.com
• https://api.blts.kape.com
• https://api.pcrs.kape.com
• https://api.jwks.kape.com
• VPN-servrar
• ExpressVPN router
• *.xvtest.net
• *.xvservice.net
• it.xvservice.net
• 1pw-scim.prd.iat.it.xvservice.net
• gatekeeper.prd.iat.it.xvservice.net
• iat.it.xvservice.net
• prd.iat.it.xvservice.net
• vector.prd.iat.it.xvservice.net
• gh-mail.expressvpn.com
• *.polymoon.it
• networkguard.com
• Alla applikationer under https://www.expressvpn.com/latest
• https://github.com/expressvpn/lightway-core
• https://github.com/expressvpn/lightway

Fokus

Vi är särskilt intresserade av:

• sårbarheter i våra klientappar, särskilt sårbarheter som leder till behörighetsintrång,

• alla typer av icke auktoriserad åtkomst till våra VPN-servrar,

• sårbarheter som röjer våra kunduppgifter till obehöriga personer samt

• sårbarheter som försvagar, bryter, eller på annat sätt påverkar våra VPN-kommunikationer på ett sätt som röjer trafiken för någon som använder våra VPN-produkter.

Andra offentligt åtkomliga tillgångar som ägs eller drivs av ExpressVPN men inte listas ovan kan komma att omfattas efter individuell bedömning i varje enskilt fall.

All ExpressVPN:s egendom kan anses omfattas. Vissa testmetoder är emellertid exkluderade. Det gäller särskilt tester som påverkar tjänstens kvalitet negativt, som DDoS eller spam. Dessa slags tester inkluderas inte.

Inte heller offentliga betaversioner av våra appar omfattas. Du kan få tillgång till dem via vår betatestsida.

Omfattas inte

Alla domäner eller subdomäner som inte listas i listan ”Omfattning” ovan.

Vi tillhandahåller safe harbor fullt ut enligt core-terms-GLOBAL från disclosure.io.

Säkerhet är helt avgörande i våra värderingar, och därför värdesätter vi den input vi får från hackers som i god tro hjälper oss upprätthålla en hög säkerhets- och integritetsstandard för våra användare. Detta inkluderar att uppmuntra ansvarsfull forskning och delgivande av information relaterad till sårbarheter. Denna policy anger vår definition av god tro relaterat till att hitta och rapportera sårbarheter, samt vad du kan förvänta dig från oss.

Förväntningar

När du jobbar med oss i enlighet med denna policy kan du förvänta dig att vi:

• erbjuder safe harbor för din sårbarhetsforskning som är relaterad till denna policy;

• jobbar med dig för att förstå och validera din rapport, inklusive en inledande respons till inlämningen i rimlig tid;

• jobbar för att åtgärda upptäckta sårbarheter inom rimlig tid; och

• erkänner ditt bidrag till att förbättra får säkerhet om du är den första som rapporterar ett unikt problem, och din rapport leder till en ändring i koden eller konfigurationen.

Grundregler

För att uppmuntra sårbarhetsforskning och undvika förvirring mellan hacking i god tro och skadliga attacker, så ber vi dig om följande.

• Följ spelreglerna. Detta inkluderar att följa denna policy, liksom andra relevanta avtal. Om denna policy och andra relevanta villkor är inkompatibla, så är det denna policy som är det överordnade styrdokumentet.

• Rapporterar sårbarheter du upptäckt så snabbt som möjligt.

• Undvik att inskränka på andras integritet, skapa avbrott i våra system, förstöra data, och/eller skada användarupplevelsen.

• Använd endast officiella kanaler för att diskutera sårbarhetsinformation med oss.

• Se till att uppgifter om upptäckta sårbarheter är konfidentiella tills de blivit lösta, i enlighet med delgivandepolicyn.

• Utför endast tester på system som omfattas av policyn, och respektera system och aktiviteter som inte ingår i policyn.

• Om sårbarheter ger oavsiktlig tillgång till data:

  • begränsa mängden data du kommer åt till ett minimum för att effektivt demonstrera Proof of Concept; och

  • upphör tester och skicka in en rapport omedelbart om du stöter på användardata under testet, såsom personligt identifierbar information (PII), personliga hälsouppgifter (PHI), betalkortuppgifter, eller skyddad information;

• Du ska endast intagera med testkonton du äger eller med konton där du har kontoinnehavarens uttryckliga medgivande.

• Utöva inte utpressning.

Avtal om safe harbor

När sårbarhetsforskning utförs enligt denna policy anser vi att forskningen som utförs är:

• auktoriserad enligt gällande anti-hackinglagar, och vi kommer inte inleda eller stödja rättsliga åtgärder mot dig för oavsiktliga brott mot denna policy som gjorts i god tro;

• auktoriserad enligt gällande lagar för kringgång, och vi kommer inte väcka talan mot dig för att du kringgått tekniska kontroller;

• undantag från begränsningar i vår policy för godtagbar användning som skulle påverka säkerhetsforskningen, och vi frånsäger oss dess begränsningar på en begränsad grund; och

• laglig, hjälpsam till den allmänna säkerheten på internet, och utförd i god tro.

Du förväntas alltid följa alla gällande lagar. Om juridiska åtgärder initieras av tredje part mot dig, och du har flöjt denna policy, kommer vi vidta åtgärder för att bevisa att dina åtgärder utfördes i enlighet med denna policy.

Om du någon gång känner dig osäker kring om din säkerhetsforskning sker i enlighet med denna policy kan du skicka ett meddelande via någon av våra officiella kanaler innan du fortsätter.

Forskare bör skicka in sina rapporter via YesWeHack. Alternativt godkänner vi också inlämningar via e-post till security@expressvpn.com.

Obs: ExpressVPN använder YesWeHack till att hantera alla bug bounty-program. Att skicka via e-post innebär att vi kommer att dela din e-postadress och innehåll med YesWeHack för triage, även om du inte är medlem på plattformen.

Se vem som har blivit belönad i vårt bug bounty-program.