ExpressVPN:s bug bounty-program
ExpressVPN driver tusentals VPN-servrar och gör VPN-appar till alla stora operativsystem, samt routrar och webbläsartillägg.
ExpressVPN tar applikationernas och tjänsternas säkerhet på väldigt stort allvar. Vi har erbjudit ett internt bug bounty-program i flera år, och har delat ut tiotusentals dollar till säkerhetsforskare. Vi värdesätter bra ingenjörskonst, och letar ständigt efter nya sätt att förbättra säkerheten på för våra produkter och tjänster.
Målinformation
Omfattning
Följande produkter och tjänster omfattas:
VPN-servrar
ExpressVPN:s iOS-app
ExpressVPN:s Android-app
ExpressVPN:s Linux-app
ExpressVPN:s macOS-app
ExpressVPN:s Windows-app
ExpressVPN:s router-app
ExpressVPN:s Firefox-tillägg
ExpressVPN:s Chrome-tillägg
MediaStreamer DNS-servrar
ExpressVPN:s API:er
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
Utöver tillgångarna som listas ovan omfattas även:
interna system, som anställdas e-post, interna chattmeddelanden, hosting för källkoder samt
sårbarheter som påverkar våra anställdas integritet.
Fokus
Vi är särskilt intresserade av:
sårbarheter i våra klientappar, särskilt sårbarheter som leder till behörighetsintrång,
alla typer av icke auktoriserad åtkomst till våra VPN-servrar,
sårbarheter som röjer våra kunduppgifter till obehöriga personer samt
sårbarheter som försvagar, bryter, eller på annat sätt påverkar våra VPN-kommunikationer på ett sätt som röjer trafiken för någon som använder våra VPN-produkter.
Andra offentligt åtkomliga tillgångar som ägs eller drivs av ExpressVPN men inte listas ovan kan komma att omfattas efter individuell bedömning i varje enskilt fall.
All ExpressVPN:s egendom kan anses omfattas. Vissa testmetoder är emellertid exkluderade. Det gäller särskilt tester som påverkar tjänstens kvalitet negativt, som DDoS eller spam. Dessa slags tester inkluderas inte.
Inte heller offentliga betaversioner av våra appar omfattas. Du kan få tillgång till dem via vår betatestsida.
Omfattas inte
Alphaversioner av våra appar
Sociala intrång (t.ex. phishing)
Fysisk säkerhet som rör våra kontor, servrar och anställda
Programvara från tredje part (förutom i fall då det finns sårbarheter som kan utnyttjas på grund av felkonfigurering på versionsnivå)
Safe harbor
Vi tillhandahåller safe harbor fullt ut enligt core-terms-GLOBAL från disclosure.io.
Säkerhet är helt avgörande i våra värderingar, och därför värdesätter vi den input vi får från hackers som i god tro hjälper oss upprätthålla en hög säkerhets- och integritetsstandard för våra användare. Detta inkluderar att uppmuntra ansvarsfull forskning och delgivande av information relaterad till sårbarheter. Denna policy anger vår definition av god tro relaterat till att hitta och rapportera sårbarheter, samt vad du kan förvänta dig från oss.
Förväntningar
När du jobbar med oss i enlighet med denna policy kan du förvänta dig att vi:
erbjuder safe harbor för din sårbarhetsforskning som är relaterad till denna policy;
jobbar med dig för att förstå och validera din rapport, inklusive en inledande respons till inlämningen i rimlig tid;
jobbar för att åtgärda upptäckta sårbarheter inom rimlig tid; och
erkänner ditt bidrag till att förbättra får säkerhet om du är den första som rapporterar ett unikt problem, och din rapport leder till en ändring i koden eller konfigurationen.
Grundregler
För att uppmuntra sårbarhetsforskning och undvika förvirring mellan hacking i god tro och skadliga attacker, så ber vi dig om följande.
Följ spelreglerna. Detta inkluderar att följa denna policy, liksom andra relevanta avtal. Om denna policy och andra relevanta villkor är inkompatibla, så är det denna policy som är det överordnade styrdokumentet.
Rapporterar sårbarheter du upptäckt så snabbt som möjligt.
Undvik att inskränka på andras integritet, skapa avbrott i våra system, förstöra data, och/eller skada användarupplevelsen.
Använd endast officiella kanaler för att diskutera sårbarhetsinformation med oss.
Se till att uppgifter om upptäckta sårbarheter är konfidentiella tills de blivit lösta, i enlighet med delgivandepolicyn.
Utför endast tester på system som omfattas av policyn, och respektera system och aktiviteter som inte ingår i policyn.
Om sårbarheter ger oavsiktlig tillgång till data:
begränsa mängden data du kommer åt till ett minimum för att effektivt demonstrera Proof of Concept; och
upphör tester och skicka in en rapport omedelbart om du stöter på användardata under testet, såsom personligt identifierbar information (PII), personliga hälsouppgifter (PHI), betalkortuppgifter, eller skyddad information;
Du ska endast intagera med testkonton du äger eller med konton där du har kontoinnehavarens uttryckliga medgivande.
Utöva inte utpressning.
Avtal om safe harbor
När sårbarhetsforskning utförs enligt denna policy anser vi att forskningen som utförs är:
auktoriserad enligt gällande anti-hackinglagar, och vi kommer inte inleda eller stödja rättsliga åtgärder mot dig för oavsiktliga brott mot denna policy som gjorts i god tro;
auktoriserad enligt gällande lagar för kringgång, och vi kommer inte väcka talan mot dig för att du kringgått tekniska kontroller;
undantag från begränsningar i vår policy för godtagbar användning som skulle påverka säkerhetsforskningen, och vi frånsäger oss dess begränsningar på en begränsad grund; och
laglig, hjälpsam till den allmänna säkerheten på internet, och utförd i god tro.
Du förväntas alltid följa alla gällande lagar. Om juridiska åtgärder initieras av tredje part mot dig, och du har flöjt denna policy, kommer vi vidta åtgärder för att bevisa att dina åtgärder utfördes i enlighet med denna policy.
Om du någon gång känner dig osäker kring om din säkerhetsforskning sker i enlighet med denna policy kan du skicka ett meddelande via någon av våra officiella kanaler innan du fortsätter.
Hur man skickar en rapport
Forskare ska skicka sina rapporter via Bugcrowd. Alternativt godkänner vi också inlämningar via e-post till security@expressvpn.com.
Obs: ExpressVPN använder Bugcrowd för att hantera alla bug bounty-program. Inlämning via e-post innebär att vi kommer dela din e-postadress och ditt innehåll med Bugcrowd för att behandla inlämningen, även om du inte är medlem på plattformen.