โปรแกรม Bug Bounty ของ ExpressVPN
ExpressVPN ดำเนินการเซิร์ฟเวอร์ VPN จำนวนหลายพันและสร้างแอปพลิเคชัน VPN บนแพลตฟอร์มต่าง ๆ สำหรับระบบปฏิบัติการหลักทั้งหมดรวมถึงเราเตอร์และส่วนขยายของเบราว์เซอร์
ExpressVPN ให้ความสำคัญกับความปลอดภัยของแอปพลิเคชันและบริการอย่างจริงจัง เราได้เสนอโปรแกรม Bug Bounty ในองค์กรมาหลายปีแล้ว และได้มอบเงินรางวัลให้กับนักวิจัยด้านความปลอดภัยหลายหมื่นดอลลาร์ นอกจากนี้เรายังให้ความสำคัญกับวิศวกรรมที่ยอดเยี่ยมและมองหาวิธีปรับปรุงความปลอดภัยของผลิตภัณฑ์และบริการของเราอยู่เสมอ
ข้อมูลเป้าหมาย
ขอบเขต
ผลิตภัณฑ์และบริการต่อไปนี้อยู่ในขอบเขต:
เซิร์ฟเวอร์ VPN
แอปพลิเคชัน ExpressVPN iOS
แอปพลิเคชัน ExpressVPN Android
แอปพลิเคชัน ExpressVPN Linux
แอปพลิเคชัน ExpressVPN macOS
แอปพลิเคชัน ExpressVPN Windows
แอปพลิเคชัน ExpressVPN เราเตอร์
ส่วนขยาย ExpressVPN Firefox
ส่วนขยาย ExpressVPN Chrome
เซิร์ฟเวอร์ MediaStreamer DNS
ExpressVPN API
expressvpn.com
* .expressvpn.com
* .xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
เช่นเดียวกับทรัพย์สินที่ระบุไว้ข้างต้นยังอยู่ในขอบเขต:
ระบบภายในเช่น อีเมลของพนักงาน ข้อความแชทภายใน การโฮสต์ซอร์สโค้ด
ช่องโหว่ใด ๆ ที่ทำลายความเป็นส่วนตัวของพนักงานของเรา
โฟกัส
เราสนใจเป็นพิเศษใน:
ช่องโหว่ในแอปพลิเคชันไคลเอนต์ของเราโดยเฉพาะช่องโหว่ที่นำไปสู่การยกระดับสิทธิ์
การเข้าถึงที่ไม่ได้รับอนุญาตทุกประเภทบนเซิร์ฟเวอร์ VPN ของเรา
ช่องโหว่ที่เปิดเผยข้อมูลลูกค้าของเราต่อบุคคลที่ไม่ได้รับอนุญาต
ช่องโหว่ที่ทำให้อ่อนแอ ทำลาย หรือล้มล้างการสื่อสาร VPN ของเราในลักษณะที่เปิดเผยปริมาณการใช้งานของทุกคนที่ใช้ผลิตภัณฑ์ VPN ของเรา
นอกจากนี้โฮสต์ที่สามารถเข้าถึงได้แบบสาธารณะซึ่งเป็นเจ้าของหรือดำเนินการโดย ExpressVPN ที่ไม่อยู่ในรายการข้างต้นอาจได้รับการพิจารณาในขอบเขตเป็นกรณี ๆ ไป
สามารถพิจารณาคุณสมบัติ ExpressVPN ทั้งหมดได้ อย่างไรก็ตามไม่รวมวิธีการทดสอบบางอย่าง โดยเฉพาะอย่างยิ่งการทดสอบที่ทำให้คุณภาพการบริการลดลง เช่น DoS หรือสแปม จะไม่ได้รับการพิจารณาให้รวมเข้าด้วยกัน
แอปพลิเคชันของเราในเวอร์ชันเบต้าสาธารณะก็อยู่ในขอบเขตเช่นเดียวกัน คุณสามารถรับได้ผ่านหน้าผู้ทดสอบเบต้าของเรา
นอกเหนือขอบเขต
แอปพลิเคชันของเราในเวอร์ชันอัลฟ่า
วิศวกรรมสังคม (เช่น ฟิชชิง)
ความปลอดภัยทางกายภาพของสำนักงานเซิร์ฟเวอร์และพนักงานของเรา
ซอฟต์แวร์ของบริษัทอื่น (ยกเว้นในกรณีที่มีช่องโหว่ที่ใช้ประโยชน์ได้ เนื่องจากการกำหนดค่าผิดพลาดหรือระดับการแก้ไข)
พื้นที่ปลอดภัย
เราจัดให้มีพื้นที่ปลอดภัยเต็มรูปแบบตามข้อกำหนดหลักระดับโลกของ disclose.io
การรักษาความปลอดภัยเป็นหัวใจสำคัญของค่านิยมของเรา และเราให้ความสำคัญกับข้อมูลของแฮกเกอร์ที่ทำหน้าที่โดยสุจริตเพื่อช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวสำหรับผู้ใช้ของเรา ซึ่งรวมถึงการสนับสนุนให้มีการวิจัยและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ นโยบายนี้กำหนดคำจำกัดความของความเชื่อที่ดีในบริบทของการค้นหาและรายงานช่องโหว่ตลอดจนสิ่งที่คุณคาดหวังจากเราในทางกลับกัน
ความคาดหวัง
เมื่อทำงานร่วมกับเราตามนโยบายนี้คุณสามารถคาดหวังให้เรา:
ขยายขอบเขตที่ปลอดภัยสำหรับการวิจัยช่องโหว่ของคุณที่เกี่ยวข้องกับนโยบายนี้
ทำงานร่วมกับคุณเพื่อทำความเข้าใจและตรวจสอบความถูกต้องของรายงานของคุณ รวมถึงการตอบกลับเบื้องต้นในเวลาที่เหมาะสม
ดำเนินการแก้ไขช่องโหว่ที่ค้นพบในเวลาที่เหมาะสม และ
ตระหนักถึงการมีส่วนร่วมของคุณในการปรับปรุงความปลอดภัยของเรา หากคุณเป็นคนแรกที่รายงานช่องโหว่ที่ไม่ซ้ำใครและรายงานของคุณทำให้เกิดการเปลี่ยนแปลงรหัสหรือการกำหนดค่า
กฎพื้นฐาน
เพื่อสนับสนุนการวิจัยเกี่ยวกับช่องโหว่และเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตและการโจมตีที่เป็นอันตราย เราขอสิ่งต่อไปนี้จากคุณ
เล่นตามกฎ ซึ่งรวมถึงการปฏิบัติตามนโยบายนี้ตลอดจนข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่เกี่ยวข้องข้อกำหนดของนโยบายนี้จะมีผลเหนือกว่า
รายงานช่องโหว่ที่คุณค้นพบโดยทันที
หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น รบกวนระบบของเรา ทำลายข้อมูลและ / หรือทำร้ายประสบการณ์ของผู้ใช้
ใช้เฉพาะช่องทางการเพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา
เก็บรายละเอียดของช่องโหว่ที่ค้นพบไว้เป็นความลับจนกว่าจะได้รับการแก้ไขตามนโยบายการเปิดเผยข้อมูล
ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขตและเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต
หากช่องโหว่ให้การเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ:
จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการแสดงหลักฐานแนวคิดอย่างมีประสิทธิภาพ และ
หยุดการทดสอบและส่งรายงานทันทีหากคุณพบข้อมูลผู้ใช้ใด ๆ ในระหว่างการทดสอบเช่น ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิตหรือข้อมูลที่เป็นกรรมสิทธิ์
คุณควรโต้ตอบกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดเจนจากเจ้าของบัญชี
ห้ามมีส่วนร่วมในการขู่กรรโชก
ข้อตกลงพื้นที่ปลอดภัย
เมื่อทำการวิจัยช่องโหว่ตามนโยบายนี้ เราถือว่างานวิจัยนี้ดำเนินการภายใต้นโยบายนี้เพื่อ:
ได้รับอนุญาตตามกฎหมายต่อต้านการแฮ็กที่เกี่ยวข้อง และเราจะไม่ดำเนินการหรือสนับสนุนการดำเนินการทางกฎหมายกับคุณสำหรับการละเมิดนโยบายนี้โดยไม่ได้ตั้งใจและโดยสุจริต
ได้รับอนุญาตตามกฎหมายต่อต้านการหลบเลี่ยงที่เกี่ยวข้องและเราจะไม่ยื่นข้อเรียกร้องต่อคุณสำหรับการหลีกเลี่ยงการควบคุมเทคโนโลยี
ได้รับการยกเว้นจากข้อจำกัดในนโยบายการใช้งานที่ยอมรับได้ของเราซึ่งจะรบกวนการดำเนินการวิจัยด้านความปลอดภัย และเราสละข้อจำกัดเหล่านั้นอย่างจำกัด และ
ชอบด้วยกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ตและดำเนินการโดยสุจริต
คุณต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดเช่นเคย หากบุคคลที่สามเริ่มดำเนินการทางกฎหมายและคุณได้ปฏิบัติตามนโยบายนี้ เราจะดำเนินการเพื่อให้ทราบว่าการกระทำของคุณได้ดำเนินการตามนโยบายนี้
หากเมื่อใดก็ตามที่คุณมีข้อกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของคุณสอดคล้องกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านช่องทางที่เป็นทางการของเราก่อนดำเนินการใด ๆ
รางวัลโบนัส $100,000 หนึ่งครั้ง
เราได้ออกแบบเซิร์ฟเวอร์ VPN ของเราให้ปลอดภัยและยืดหยุ่นผ่านระบบที่เรียกว่า TrustedServer ซึ่งปรับปรุงสถานะความปลอดภัยของเซิร์ฟเวอร์ของเราอย่างมาก เรามั่นใจในการทำงานของเราในด้านนี้และมีเป้าหมายเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ VPN ของเราตรงตามความคาดหวังด้านความปลอดภัยของเรา
ด้วยเหตุนี้ เราจึงเชิญนักวิจัยของเราให้มุ่งเน้นการทดสอบปัญหาด้านความปลอดภัยประเภทต่อไปนี้ภายในเซิร์ฟเวอร์ VPN ของเรา:
การเข้าถึงเซิร์ฟเวอร์ VPN หรือการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาต
ช่องโหว่ในเซิร์ฟเวอร์ VPN ของเราซึ่งส่งผลให้ที่อยู่ IP จริงของลูกค้ารั่วไหลหรือความสามารถในการตรวจสอบปริมาณการใช้งานของผู้ใช้
เพื่อให้มีคุณสมบัติในการรับเงินรางวัลนี้ เราจะต้องมีหลักฐานยืนยันผลกระทบต่อความเป็นส่วนตัวของผู้ใช้ของเรา สิ่งนี้จะต้องมีการสาธิตการเข้าถึงโดยไม่ได้รับอนุญาต การเรียกใช้โค้ดจากระยะไกล การรั่วไหลของที่อยู่ IP หรือความสามารถในการตรวจสอบการรับส่งข้อมูลของผู้ใช้ที่ไม่ได้เข้ารหัส (ไม่เข้ารหัส VPN)
เพื่อให้ความท้าทายนี้น่าดึงดูดยิ่งขึ้น เราขอนำเสนอโบนัสต่อไปนี้: บุคคลแรกที่ส่งช่องโหว่ที่ถูกต้องจะได้รับเงินรางวัลเพิ่มเติม 100,000 เหรียญสหรัฐ โบนัสนี้จะใช้ได้จนกว่าจะมีการรับรางวัล
ขอบเขต
เราใช้ TrustedServer เป็นแพลตฟอร์มสำหรับโปรโตคอลทั้งหมดที่เราเสนอให้ผู้ใช้ ดังนั้นเซิร์ฟเวอร์ VPN ทั้งหมดของเราจึงถือว่าอยู่ในขอบเขต
โปรดตรวจสอบให้แน่ใจว่ากิจกรรมของคุณยังคงอยู่ในขอบเขตของโปรแกรม ตัวอย่างเช่น แผงผู้ดูแลระบบสำหรับบริการศูนย์ข้อมูลที่เราใช้อยู่นอกขอบเขตเนื่องจาก ExpressVPN ไม่ได้เป็นเจ้าของ โฮสต์ และดำเนินการโดย ExpressVPN หากคุณไม่แน่ใจว่าการทดสอบของคุณถือว่าอยู่ในขอบเขตหรือไม่ โปรดติดต่อ support@bugcrowd.com เพื่อยืนยันก่อน นักวิจัยพบว่ามีการทดสอบนอกขอบเขตจะไม่มีสิทธิ์ได้รับรางวัล และเราจะสงวนสิทธิ์ในการลบบุคคลออกจากโปรแกรมทันที
ข้อยกเว้น
เรามุ่งมั่นเพื่อให้แน่ใจว่าความท้าทายของเราอยู่ในสนามแข่งขันที่เท่าเทียมกัน ดังนั้น บุคคลต่อไปนี้จึงไม่มีสิทธิ์รับโบนัสสำหรับการค้นพบที่สำคัญครั้งแรก:
พนักงานเต็มเวลาหรือนอกเวลาของ ExpressVPN หรือบริษัทในเครืออื่น ๆ ของ Kape Technologies ตลอดจนเพื่อนและครอบครัวของพวกเขา และ
ผู้รับเหมา ที่ปรึกษา ตัวแทน ซัพพลายเออร์ ผู้ขาย หรือบุคคลอื่นใดที่เกี่ยวข้องหรือเกี่ยวข้องกับ ExpressVPN
วิธีการส่งรายงาน
นักวิจัยควรส่งรายงานผ่าน Bugcrowd นอกจากนี้เรายังยอมรับการส่งทางอีเมลไปที่ security@expressvpn.com
โปรดทราบ: ExpressVPN ใช้ Bugcrowd เพื่อจัดการโปรแกรม bug bounty ทั้งหมด การส่งทางอีเมลหมายความว่าเราจะแชร์ที่อยู่อีเมลของคุณและแบ่งปันเนื้อหากับ Bugcrowd เพื่อจุดประสงค์ในการตรวจสอบข้อมูลแม้ว่าคุณจะไม่ได้เป็นสมาชิกของแพลตฟอร์มก็ตาม