โปรแกรม Bug Bounty ของ ExpressVPN
ExpressVPN เปิดให้บริการเซิร์ฟเวอร์ VPN นับพันเซิร์ฟเวอร์และมีแอปพลิเคชัน VPN บนอุปกรณ์ต่าง ๆ มากมายสำหรับเดสก์ท็อปหลักและระบบปฏิบัติการมือถือหลักทั้งหมด ตลอดจนเราเตอร์และส่วนขยายเบราว์เซอร์
ความปลอดภัยถือเป็นหัวใจสำคัญของเราและเราให้ความสำคัญกับความคิดเห็นของแฮกเกอร์ที่กระทำการด้วยความหวังที่จะช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ของเรา นี่รวมถึงการสนับสนุนการวิจัยและการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ
เราเสนอโปรแกรม Bug Bounty ภายในองค์กรมาเป็นเวลาหลายปีและจ่ายเงินหลายพันดอลลาร์ให้กับนักวิจัยด้านความปลอดภัยในช่วงเวลาดังกล่าว เราให้ความสำคัญกับวิศวกรรมที่ยอดเยี่ยมและกำลังมองหาวิธีปรับปรุงความปลอดภัยของผลิตภัณฑ์และบริการของเราอยู่เสมอ
ข้อมูลเป้าหมาย
ขอบเขต
ผลิตภัณฑ์และบริการดังต่อไปนี้อยู่ในขอบเขต:
- *.expressvpn.com
- expressvpn.jobs
- ExpressVPN APIs
- https://xv-cp.apis-staging.xvtest.net/
- https://cp.expressapisv2.net
- https://api.expressvpn.com
- https://api.enc.kape.com
- https://api.dbs.kape.com
- https://api.dts.kape.com
- https://api.blts.kape.com
- https://api.pcrs.kape.com
- https://api.jwks.kape.com
- เซิร์ฟเวอร์ VPN
- เราเตอร์ ExpressVPN
- *.xvtest.net
- *.xvservice.net
- it.xvservice.net
- 1pw-scim.prd.iat.it.xvservice.net
- gatekeeper.prd.iat.it.xvservice.net
- iat.it.xvservice.net
- prd.iat.it.xvservice.net
- vector.prd.iat.it.xvservice.net
- gh-mail.expressvpn.com
- *.polymoon.it
- networkguard.com
- แอปพลิเคชันใด ๆ ภายใต้ https://www.expressvpn.com/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
โฟกัส
เราสนใจเป็นพิเศษใน:
ช่องโหว่ในแอปพลิเคชันไคลเอนต์ของเราโดยเฉพาะช่องโหว่ที่นำไปสู่การยกระดับสิทธิ์
การเข้าถึงที่ไม่ได้รับอนุญาตทุกประเภทบนเซิร์ฟเวอร์ VPN ของเรา
ช่องโหว่ที่เปิดเผยข้อมูลลูกค้าของเราต่อบุคคลที่ไม่ได้รับอนุญาต
ช่องโหว่ที่ทำให้อ่อนแอ ทำลาย หรือล้มล้างการสื่อสาร VPN ของเราในลักษณะที่เปิดเผยปริมาณการใช้งานของทุกคนที่ใช้ผลิตภัณฑ์ VPN ของเรา
นอกจากนี้โฮสต์ที่สามารถเข้าถึงได้แบบสาธารณะซึ่งเป็นเจ้าของหรือดำเนินการโดย ExpressVPN ที่ไม่อยู่ในรายการข้างต้นอาจได้รับการพิจารณาในขอบเขตเป็นกรณี ๆ ไป
สามารถพิจารณาคุณสมบัติ ExpressVPN ทั้งหมดได้ อย่างไรก็ตามไม่รวมวิธีการทดสอบบางอย่าง โดยเฉพาะอย่างยิ่งการทดสอบที่ทำให้คุณภาพการบริการลดลง เช่น DoS หรือสแปม จะไม่ได้รับการพิจารณาให้รวมเข้าด้วยกัน
แอปพลิเคชันของเราในเวอร์ชันเบต้าสาธารณะก็อยู่ในขอบเขตเช่นเดียวกัน คุณสามารถรับได้ผ่านหน้าผู้ทดสอบเบต้าของเรา
นอกเหนือขอบเขต
โดเมนหลักหรือโดเมนย่อยทั้งหมดที่ไม่ได้ระบุไว้ในรายการ 'ขอบเขต' ข้างต้น
พื้นที่ปลอดภัย
เราจัดให้มีพื้นที่ปลอดภัยเต็มรูปแบบตามข้อกำหนดหลักระดับโลกของ disclose.io
การรักษาความปลอดภัยเป็นหัวใจสำคัญของค่านิยมของเรา และเราให้ความสำคัญกับข้อมูลของแฮกเกอร์ที่ทำหน้าที่โดยสุจริตเพื่อช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวสำหรับผู้ใช้ของเรา ซึ่งรวมถึงการสนับสนุนให้มีการวิจัยและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ นโยบายนี้กำหนดคำจำกัดความของความเชื่อที่ดีในบริบทของการค้นหาและรายงานช่องโหว่ตลอดจนสิ่งที่คุณคาดหวังจากเราในทางกลับกัน
ความคาดหวัง
เมื่อทำงานร่วมกับเราตามนโยบายนี้คุณสามารถคาดหวังให้เรา:
ขยายขอบเขตที่ปลอดภัยสำหรับการวิจัยช่องโหว่ของคุณที่เกี่ยวข้องกับนโยบายนี้
ทำงานร่วมกับคุณเพื่อทำความเข้าใจและตรวจสอบความถูกต้องของรายงานของคุณ รวมถึงการตอบกลับเบื้องต้นในเวลาที่เหมาะสม
ดำเนินการแก้ไขช่องโหว่ที่ค้นพบในเวลาที่เหมาะสม และ
ตระหนักถึงการมีส่วนร่วมของคุณในการปรับปรุงความปลอดภัยของเรา หากคุณเป็นคนแรกที่รายงานช่องโหว่ที่ไม่ซ้ำใครและรายงานของคุณทำให้เกิดการเปลี่ยนแปลงรหัสหรือการกำหนดค่า
กฎพื้นฐาน
เพื่อสนับสนุนการวิจัยเกี่ยวกับช่องโหว่และเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตและการโจมตีที่เป็นอันตราย เราขอสิ่งต่อไปนี้จากคุณ
เล่นตามกฎ ซึ่งรวมถึงการปฏิบัติตามนโยบายนี้ตลอดจนข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่เกี่ยวข้องข้อกำหนดของนโยบายนี้จะมีผลเหนือกว่า
รายงานช่องโหว่ที่คุณค้นพบโดยทันที
หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น รบกวนระบบของเรา ทำลายข้อมูลและ / หรือทำร้ายประสบการณ์ของผู้ใช้
ใช้เฉพาะช่องทางการเพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา
เก็บรายละเอียดของช่องโหว่ที่ค้นพบไว้เป็นความลับจนกว่าจะได้รับการแก้ไขตามนโยบายการเปิดเผยข้อมูล
ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขตและเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต
หากช่องโหว่ให้การเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ:
จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการแสดงหลักฐานแนวคิดอย่างมีประสิทธิภาพ และ
หยุดการทดสอบและส่งรายงานทันทีหากคุณพบข้อมูลผู้ใช้ใด ๆ ในระหว่างการทดสอบเช่น ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิตหรือข้อมูลที่เป็นกรรมสิทธิ์
คุณควรโต้ตอบกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดเจนจากเจ้าของบัญชี
ห้ามมีส่วนร่วมในการขู่กรรโชก
ข้อตกลงพื้นที่ปลอดภัย
เมื่อทำการวิจัยช่องโหว่ตามนโยบายนี้ เราถือว่างานวิจัยนี้ดำเนินการภายใต้นโยบายนี้เพื่อ:
ได้รับอนุญาตตามกฎหมายต่อต้านการแฮ็กที่เกี่ยวข้อง และเราจะไม่ดำเนินการหรือสนับสนุนการดำเนินการทางกฎหมายกับคุณสำหรับการละเมิดนโยบายนี้โดยไม่ได้ตั้งใจและโดยสุจริต
ได้รับอนุญาตตามกฎหมายต่อต้านการหลบเลี่ยงที่เกี่ยวข้องและเราจะไม่ยื่นข้อเรียกร้องต่อคุณสำหรับการหลีกเลี่ยงการควบคุมเทคโนโลยี
ได้รับการยกเว้นจากข้อจำกัดในนโยบายการใช้งานที่ยอมรับได้ของเราซึ่งจะรบกวนการดำเนินการวิจัยด้านความปลอดภัย และเราสละข้อจำกัดเหล่านั้นอย่างจำกัด และ
ชอบด้วยกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ตและดำเนินการโดยสุจริต
คุณต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดเช่นเคย หากบุคคลที่สามเริ่มดำเนินการทางกฎหมายและคุณได้ปฏิบัติตามนโยบายนี้ เราจะดำเนินการเพื่อให้ทราบว่าการกระทำของคุณได้ดำเนินการตามนโยบายนี้
หากเมื่อใดก็ตามที่คุณมีข้อกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของคุณสอดคล้องกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านช่องทางที่เป็นทางการของเราก่อนดำเนินการใด ๆ
รางวัลโบนัส $100,000 หนึ่งครั้ง
เราได้ออกแบบเซิร์ฟเวอร์ VPN ของเราให้ปลอดภัยและยืดหยุ่นผ่านระบบที่เรียกว่า TrustedServer ซึ่งปรับปรุงสถานะความปลอดภัยของเซิร์ฟเวอร์ของเราอย่างมาก เรามั่นใจในการทำงานของเราในด้านนี้และมีเป้าหมายเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ VPN ของเราตรงตามความคาดหวังด้านความปลอดภัยของเรา
ด้วยเหตุนี้ เราจึงเชิญนักวิจัยของเราให้มุ่งเน้นการทดสอบปัญหาด้านความปลอดภัยประเภทต่อไปนี้ภายในเซิร์ฟเวอร์ VPN ของเรา:
การเข้าถึงเซิร์ฟเวอร์ VPN หรือการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาต
ช่องโหว่ในเซิร์ฟเวอร์ VPN ของเราซึ่งส่งผลให้ที่อยู่ IP จริงของลูกค้ารั่วไหลหรือความสามารถในการตรวจสอบปริมาณการใช้งานของผู้ใช้
เพื่อให้มีคุณสมบัติในการรับเงินรางวัลนี้ เราจะต้องมีหลักฐานยืนยันผลกระทบต่อความเป็นส่วนตัวของผู้ใช้ของเรา สิ่งนี้จะต้องมีการสาธิตการเข้าถึงโดยไม่ได้รับอนุญาต การเรียกใช้โค้ดจากระยะไกล การรั่วไหลของที่อยู่ IP หรือความสามารถในการตรวจสอบการรับส่งข้อมูลของผู้ใช้ที่ไม่ได้เข้ารหัส (ไม่เข้ารหัส VPN)
เพื่อให้ความท้าทายนี้น่าดึงดูดยิ่งขึ้น เราขอนำเสนอโบนัสต่อไปนี้: บุคคลแรกที่ส่งช่องโหว่ที่ถูกต้องจะได้รับเงินรางวัลเพิ่มเติม 100,000 เหรียญสหรัฐ โบนัสนี้จะใช้ได้จนกว่าจะมีการรับรางวัล
ขอบเขต
เราใช้ TrustedServer เป็นแพลตฟอร์มสำหรับโปรโตคอลทั้งหมดที่เราเสนอให้ผู้ใช้ ดังนั้นเซิร์ฟเวอร์ VPN ทั้งหมดของเราจึงถือว่าอยู่ในขอบเขต
โปรดตรวจสอบให้แน่ใจว่ากิจกรรมของคุณยังคงอยู่ในขอบเขตของโปรแกรม ตัวอย่างเช่น แผงผู้ดูแลระบบสำหรับบริการศูนย์ข้อมูลที่เราใช้อยู่นอกขอบเขตเนื่องจาก ExpressVPN ไม่ได้เป็นเจ้าของ โฮสต์ และดำเนินการโดย ExpressVPN หากคุณไม่มั่นใจว่าการทดสอบของคุณถือว่าอยู่ในขอบเขตหรือไม่ โปรดติดต่อ YesWeHack เพื่อยืนยันก่อน เพื่อยืนยันก่อน นักวิจัยพบว่ามีการทดสอบนอกขอบเขตจะไม่มีสิทธิ์ได้รับรางวัล และเราจะสงวนสิทธิ์ในการลบบุคคลออกจากโปรแกรมทันที
ข้อยกเว้น
เรามุ่งมั่นเพื่อให้แน่ใจว่าความท้าทายของเราอยู่ในสนามแข่งขันที่เท่าเทียมกัน ดังนั้น บุคคลต่อไปนี้จึงไม่มีสิทธิ์รับโบนัสสำหรับการค้นพบที่สำคัญครั้งแรก:
พนักงานเต็มเวลาหรือนอกเวลาของ ExpressVPN หรือบริษัทในเครืออื่น ๆ ของ Kape Technologies ตลอดจนเพื่อนและครอบครัวของพวกเขา และ
ผู้รับเหมา ที่ปรึกษา ตัวแทน ซัพพลายเออร์ ผู้ขาย หรือบุคคลอื่นใดที่เกี่ยวข้องหรือเกี่ยวข้องกับ ExpressVPN
วิธีการส่งรายงาน
นักวิจัยควรส่งรายงานของตนผ่าน YesWeHack นอกจากนี้เรายังยอมรับการส่งทางอีเมลไปที่ security@expressvpn.com
โปรดทราบ: ExpressVPN ใช้ YesWeHack เพื่อจัดการโปรแกรมล่าบัคทั้งหมด การส่งผ่านอีเมลหมายความว่าเราจะส่งแบ่งปันที่อยู่อีเมลของคุณและแบ่งเนื้อหากับ YesWeHack เพื่อวัตถุประสงค์การคัดแยกแม้ว่าคุณจะไม่ใช่สมาชิกของแพลตฟอร์มก็ตาม