โปรแกรม Bug Bounty ของ ExpressVPN

ExpressVPN เปิดให้บริการเซิร์ฟเวอร์ VPN นับพันเซิร์ฟเวอร์และมีแอปพลิเคชัน VPN บนอุปกรณ์ต่าง ๆ มากมายสำหรับเดสก์ท็อปหลักและระบบปฏิบัติการมือถือหลักทั้งหมด ตลอดจนเราเตอร์และส่วนขยายเบราว์เซอร์

ความปลอดภัยถือเป็นหัวใจสำคัญของเราและเราให้ความสำคัญกับความคิดเห็นของแฮกเกอร์ที่กระทำการด้วยความหวังที่จะช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ของเรา นี่รวมถึงการสนับสนุนการวิจัยและการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ

เราเสนอโปรแกรม Bug Bounty ภายในองค์กรมาเป็นเวลาหลายปีและจ่ายเงินหลายพันดอลลาร์ให้กับนักวิจัยด้านความปลอดภัยในช่วงเวลาดังกล่าว เราให้ความสำคัญกับวิศวกรรมที่ยอดเยี่ยมและกำลังมองหาวิธีปรับปรุงความปลอดภัยของผลิตภัณฑ์และบริการของเราอยู่เสมอ

รับรางวัลด้วยโปรแกรมบั๊กโปรดปรานของเรา

ข้อมูลเป้าหมาย

ขอบเขต

ผลิตภัณฑ์และบริการดังต่อไปนี้อยู่ในขอบเขต:

โฟกัส

เราสนใจเป็นพิเศษใน:

  • ช่องโหว่ในแอปพลิเคชันไคลเอนต์ของเราโดยเฉพาะช่องโหว่ที่นำไปสู่การยกระดับสิทธิ์

  • การเข้าถึงที่ไม่ได้รับอนุญาตทุกประเภทบนเซิร์ฟเวอร์ VPN ของเรา

  • ช่องโหว่ที่เปิดเผยข้อมูลลูกค้าของเราต่อบุคคลที่ไม่ได้รับอนุญาต

  • ช่องโหว่ที่ทำให้อ่อนแอ ทำลาย หรือล้มล้างการสื่อสาร VPN ของเราในลักษณะที่เปิดเผยปริมาณการใช้งานของทุกคนที่ใช้ผลิตภัณฑ์ VPN ของเรา

นอกจากนี้โฮสต์ที่สามารถเข้าถึงได้แบบสาธารณะซึ่งเป็นเจ้าของหรือดำเนินการโดย ExpressVPN ที่ไม่อยู่ในรายการข้างต้นอาจได้รับการพิจารณาในขอบเขตเป็นกรณี ๆ ไป

สามารถพิจารณาคุณสมบัติ ExpressVPN ทั้งหมดได้ อย่างไรก็ตามไม่รวมวิธีการทดสอบบางอย่าง โดยเฉพาะอย่างยิ่งการทดสอบที่ทำให้คุณภาพการบริการลดลง เช่น DoS หรือสแปม จะไม่ได้รับการพิจารณาให้รวมเข้าด้วยกัน

แอปพลิเคชันของเราในเวอร์ชันเบต้าสาธารณะก็อยู่ในขอบเขตเช่นเดียวกัน คุณสามารถรับได้ผ่านหน้าผู้ทดสอบเบต้าของเรา

นอกเหนือขอบเขต

โดเมนหลักหรือโดเมนย่อยทั้งหมดที่ไม่ได้ระบุไว้ในรายการ 'ขอบเขต' ข้างต้น




พื้นที่ปลอดภัย

เราจัดให้มีพื้นที่ปลอดภัยเต็มรูปแบบตามข้อกำหนดหลักระดับโลกของ disclose.io

การรักษาความปลอดภัยเป็นหัวใจสำคัญของค่านิยมของเรา และเราให้ความสำคัญกับข้อมูลของแฮกเกอร์ที่ทำหน้าที่โดยสุจริตเพื่อช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวสำหรับผู้ใช้ของเรา ซึ่งรวมถึงการสนับสนุนให้มีการวิจัยและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ นโยบายนี้กำหนดคำจำกัดความของความเชื่อที่ดีในบริบทของการค้นหาและรายงานช่องโหว่ตลอดจนสิ่งที่คุณคาดหวังจากเราในทางกลับกัน

ความคาดหวัง

เมื่อทำงานร่วมกับเราตามนโยบายนี้คุณสามารถคาดหวังให้เรา:

  • ขยายขอบเขตที่ปลอดภัยสำหรับการวิจัยช่องโหว่ของคุณที่เกี่ยวข้องกับนโยบายนี้

  • ทำงานร่วมกับคุณเพื่อทำความเข้าใจและตรวจสอบความถูกต้องของรายงานของคุณ รวมถึงการตอบกลับเบื้องต้นในเวลาที่เหมาะสม

  • ดำเนินการแก้ไขช่องโหว่ที่ค้นพบในเวลาที่เหมาะสม และ

  • ตระหนักถึงการมีส่วนร่วมของคุณในการปรับปรุงความปลอดภัยของเรา หากคุณเป็นคนแรกที่รายงานช่องโหว่ที่ไม่ซ้ำใครและรายงานของคุณทำให้เกิดการเปลี่ยนแปลงรหัสหรือการกำหนดค่า

กฎพื้นฐาน

เพื่อสนับสนุนการวิจัยเกี่ยวกับช่องโหว่และเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตและการโจมตีที่เป็นอันตราย เราขอสิ่งต่อไปนี้จากคุณ

  • เล่นตามกฎ ซึ่งรวมถึงการปฏิบัติตามนโยบายนี้ตลอดจนข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่เกี่ยวข้องข้อกำหนดของนโยบายนี้จะมีผลเหนือกว่า

  • รายงานช่องโหว่ที่คุณค้นพบโดยทันที

  • หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น รบกวนระบบของเรา ทำลายข้อมูลและ / หรือทำร้ายประสบการณ์ของผู้ใช้

  • ใช้เฉพาะช่องทางการเพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา

  • เก็บรายละเอียดของช่องโหว่ที่ค้นพบไว้เป็นความลับจนกว่าจะได้รับการแก้ไขตามนโยบายการเปิดเผยข้อมูล

  • ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขตและเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต

  • หากช่องโหว่ให้การเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ:

    • จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการแสดงหลักฐานแนวคิดอย่างมีประสิทธิภาพ และ

    • หยุดการทดสอบและส่งรายงานทันทีหากคุณพบข้อมูลผู้ใช้ใด ๆ ในระหว่างการทดสอบเช่น ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิตหรือข้อมูลที่เป็นกรรมสิทธิ์

  • คุณควรโต้ตอบกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดเจนจากเจ้าของบัญชี

  • ห้ามมีส่วนร่วมในการขู่กรรโชก

ข้อตกลงพื้นที่ปลอดภัย

เมื่อทำการวิจัยช่องโหว่ตามนโยบายนี้ เราถือว่างานวิจัยนี้ดำเนินการภายใต้นโยบายนี้เพื่อ:

  • ได้รับอนุญาตตามกฎหมายต่อต้านการแฮ็กที่เกี่ยวข้อง และเราจะไม่ดำเนินการหรือสนับสนุนการดำเนินการทางกฎหมายกับคุณสำหรับการละเมิดนโยบายนี้โดยไม่ได้ตั้งใจและโดยสุจริต

  • ได้รับอนุญาตตามกฎหมายต่อต้านการหลบเลี่ยงที่เกี่ยวข้องและเราจะไม่ยื่นข้อเรียกร้องต่อคุณสำหรับการหลีกเลี่ยงการควบคุมเทคโนโลยี

  • ได้รับการยกเว้นจากข้อจำกัดในนโยบายการใช้งานที่ยอมรับได้ของเราซึ่งจะรบกวนการดำเนินการวิจัยด้านความปลอดภัย และเราสละข้อจำกัดเหล่านั้นอย่างจำกัด และ

  • ชอบด้วยกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ตและดำเนินการโดยสุจริต

คุณต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดเช่นเคย หากบุคคลที่สามเริ่มดำเนินการทางกฎหมายและคุณได้ปฏิบัติตามนโยบายนี้ เราจะดำเนินการเพื่อให้ทราบว่าการกระทำของคุณได้ดำเนินการตามนโยบายนี้

หากเมื่อใดก็ตามที่คุณมีข้อกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของคุณสอดคล้องกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านช่องทางที่เป็นทางการของเราก่อนดำเนินการใด ๆ



รางวัลโบนัส $100,000 หนึ่งครั้ง

เราได้ออกแบบเซิร์ฟเวอร์ VPN ของเราให้ปลอดภัยและยืดหยุ่นผ่านระบบที่เรียกว่า TrustedServer ซึ่งปรับปรุงสถานะความปลอดภัยของเซิร์ฟเวอร์ของเราอย่างมาก เรามั่นใจในการทำงานของเราในด้านนี้และมีเป้าหมายเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ VPN ของเราตรงตามความคาดหวังด้านความปลอดภัยของเรา

ด้วยเหตุนี้ เราจึงเชิญนักวิจัยของเราให้มุ่งเน้นการทดสอบปัญหาด้านความปลอดภัยประเภทต่อไปนี้ภายในเซิร์ฟเวอร์ VPN ของเรา:

  • การเข้าถึงเซิร์ฟเวอร์ VPN หรือการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาต

  • ช่องโหว่ในเซิร์ฟเวอร์ VPN ของเราซึ่งส่งผลให้ที่อยู่ IP จริงของลูกค้ารั่วไหลหรือความสามารถในการตรวจสอบปริมาณการใช้งานของผู้ใช้

เพื่อให้มีคุณสมบัติในการรับเงินรางวัลนี้ เราจะต้องมีหลักฐานยืนยันผลกระทบต่อความเป็นส่วนตัวของผู้ใช้ของเรา สิ่งนี้จะต้องมีการสาธิตการเข้าถึงโดยไม่ได้รับอนุญาต การเรียกใช้โค้ดจากระยะไกล การรั่วไหลของที่อยู่ IP หรือความสามารถในการตรวจสอบการรับส่งข้อมูลของผู้ใช้ที่ไม่ได้เข้ารหัส (ไม่เข้ารหัส VPN)

เพื่อให้ความท้าทายนี้น่าดึงดูดยิ่งขึ้น เราขอนำเสนอโบนัสต่อไปนี้: บุคคลแรกที่ส่งช่องโหว่ที่ถูกต้องจะได้รับเงินรางวัลเพิ่มเติม 100,000 เหรียญสหรัฐ โบนัสนี้จะใช้ได้จนกว่าจะมีการรับรางวัล

ขอบเขต

เราใช้ TrustedServer เป็นแพลตฟอร์มสำหรับโปรโตคอลทั้งหมดที่เราเสนอให้ผู้ใช้ ดังนั้นเซิร์ฟเวอร์ VPN ทั้งหมดของเราจึงถือว่าอยู่ในขอบเขต

โปรดตรวจสอบให้แน่ใจว่ากิจกรรมของคุณยังคงอยู่ในขอบเขตของโปรแกรม ตัวอย่างเช่น แผงผู้ดูแลระบบสำหรับบริการศูนย์ข้อมูลที่เราใช้อยู่นอกขอบเขตเนื่องจาก ExpressVPN ไม่ได้เป็นเจ้าของ โฮสต์ และดำเนินการโดย ExpressVPN หากคุณไม่มั่นใจว่าการทดสอบของคุณถือว่าอยู่ในขอบเขตหรือไม่ โปรดติดต่อ YesWeHack เพื่อยืนยันก่อน เพื่อยืนยันก่อน นักวิจัยพบว่ามีการทดสอบนอกขอบเขตจะไม่มีสิทธิ์ได้รับรางวัล และเราจะสงวนสิทธิ์ในการลบบุคคลออกจากโปรแกรมทันที

ข้อยกเว้น

เรามุ่งมั่นเพื่อให้แน่ใจว่าความท้าทายของเราอยู่ในสนามแข่งขันที่เท่าเทียมกัน ดังนั้น บุคคลต่อไปนี้จึงไม่มีสิทธิ์รับโบนัสสำหรับการค้นพบที่สำคัญครั้งแรก:

  • พนักงานเต็มเวลาหรือนอกเวลาของ ExpressVPN หรือบริษัทในเครืออื่น ๆ ของ Kape Technologies ตลอดจนเพื่อนและครอบครัวของพวกเขา และ

  • ผู้รับเหมา ที่ปรึกษา ตัวแทน ซัพพลายเออร์ ผู้ขาย หรือบุคคลอื่นใดที่เกี่ยวข้องหรือเกี่ยวข้องกับ ExpressVPN

วิธีการส่งรายงาน

นักวิจัยควรส่งรายงานของตนผ่าน YesWeHack นอกจากนี้เรายังยอมรับการส่งทางอีเมลไปที่ security@expressvpn.com

โปรดทราบ: ExpressVPN ใช้ YesWeHack เพื่อจัดการโปรแกรมล่าบัคทั้งหมด การส่งผ่านอีเมลหมายความว่าเราจะส่งแบ่งปันที่อยู่อีเมลของคุณและแบ่งเนื้อหากับ YesWeHack เพื่อวัตถุประสงค์การคัดแยกแม้ว่าคุณจะไม่ใช่สมาชิกของแพลตฟอร์มก็ตาม

ค้นหาผู้ที่ได้รับรางวัลในโปรแกรม bug bounty ของเรา