ExpressVPN yazılım hatası bulma programı
ExpressVPN binlerce VPN sunucusuna sahiptir ve tüm büyük işletim sistemleri, yönlendiriciler ve tarayıcı uzantıları için platformlar arası VPN uygulamaları yapar.
ExpressVPN, uygulamalarının ve hizmetlerinin güvenliğini ciddiye alır. Yıllardır şirket içi yazılım hatası bulma programını sunmaktayız ve bugüne kadar güvenlik araştırmacılarına on binlerce dolar ödül verdik. Mükemmel mühendisliğe değer veriyoruz, bu sebeple ürün ve hizmetlerimizin güvenliğini her zaman iyileştirmenin yollarını arıyoruz.
Hedef bilgisi
Kapsam
Aşağıdaki ürün ve hizmetler kapsam dahilindedir.
VPN sunucuları
ExpressVPN iOS uygulaması
ExpressVPN Android uygulaması
ExpressVPN Linux uygulaması
ExpressVPN macOS uygulaması
ExpressVPN Windows uygulaması
ExpressVPN yönlendirici uygulaması
ExpressVPN Firefox uzantısı
ExpressVPN Chrome uzantısı
MediaStreamer DNS sunucuları
ExpressVPN API'leri
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
Yukarıda listelenen varlıklara ek olarak şunlar da kapsamdadır:
şirket içi sistemler; ör. çalışan e-postaları, şirket içi yazışmalar, kaynak kodu hosting,
çalışanlarımızın mahremiyetini tehlikeye atan herhangi bir güvenlik açığı.
Odak
Özellikle şu konularla ilgileniyoruz:
İstemci uygulamalarımızdaki güvenlik açıkları, özellikle de ayrıcalık yükselmesine neden olan güvenlik açıkları
VPN sunucularımıza her türlü yetkisiz erişim,
Müşteri verilerimizi yetkisiz kişilere gösteren güvenlik açıkları,
VPN ürünlerimizi kullanan birinin trafiğini açığa çıkaracak şekilde VPN iletişimimizi zayıflatan, bozan veya başka şekilde zarara uğratan güvenlik açıkları.
Bunlara ek olarak, yukarıdaki listede yer almayan, fakat ExpressVPN'in sahip olduğu veya işlettiği genel erişimli herhangi bir ana bilgisayar, duruma göre kapsam dahilinde değerlendirilebilir.
Tüm ExpressVPN özelliklerinin buna dahil olduğu düşünülebilir. Bununla birlikte, belirli test metodolojileri hariç tutulmuştur. Özellikle, hizmet kalitesini düşüren testler (örn. DoS veya spam) kapsam dahilinde değildir.
Uygulamalarımızın genel beta sürümleri de kapsam dahilindedir. Bunları beta test sayfamızdan edinebilirsiniz.
Kapsam Dışı
Uygulamalarımızın alfa sürümleri
Sosyal mühendislik (örn. Kimlik avı)
Ofislerimizin, sunucularımızın ve çalışanlarımızın fiziksel güvenliği
Üçüncü taraf yazılımlar (yanlış yapılandırma veya yama düzeyi nedeniyle istismar edilebilir bir güvenlik açığının olduğu durumlar hariç)
Güvenli liman
disclose.io’nun core-terms-GLOBAL ilkeleri uyarınca tam güvenli liman sağlıyoruz.
Güvenlik, temel ilkelerimizdendir; bu sebeple kullanıcılarımızın güvenlik ve gizliliği için yüksek bir standart sağlamamıza yardımcı olmak amacıyla iyi niyetle hareket eden bilgisayar korsanlarının katkılarını önemsiyoruz. Buna, sorumlu güvenlik açığı araştırmasını ve ifşasını teşvik etmek dahildir. Bu politika, güvenlik açıklarını bulma ve raporlama bağlamında iyi niyeti nasıl tanımladığımızı ve karşılığında bizden neler bekleyebileceğinizi ortaya koymaktadır.
Beklentiler
Bu politika bağlamında bizimle çalışırken bizden şunları yapmamızı bekleyebilirsiniz:
Bu politikayla ilgili güvenlik açığı araştırmanız için güvenli limanı genişletmek;
Başvuruya hızlı şekilde ilk cevabımızı vermek dahil olmak üzere raporunuzu anlamak ve doğrulamak için sizinle birlikte çalışmak;
Keşfedilen güvenlik açıklarını hızlıca düzeltmek için çalışmak ve
Özgün güvenlik açığını ilk bildiren sizseniz ve raporunuz bir kod veya yapılandırma değişikliğine yol açarsa, güvenliğimizi geliştirmeye olan katkınızı tanımak.
Temel Kurallar
Güvenlik açığı araştırmasını teşvik etmek ve iyi niyetli bilgisayar korsanlığı ile kötü niyetli saldırı arasındaki karmaşayı önlemek için aşağıdaki kurallara uymanızı rica ederiz.
Oyunu kuralına göre oynayın. Buna, bu politika ve diğer ilgili sözleşmeler de dahildir. Bu politika ile ilgili diğer hükümler arasında herhangi bir tutarsızlık varsa bu politikanın hükümleri geçerli olacaktır.
Bulduğunuz herhangi bir güvenlik açığını derhal bildirin.
Başkalarının gizliliğini ihlal etmekten, sistemlerimizi bozmaktan, verileri yok etmekten ve/ya kullanıcı deneyimine zarar vermekten kaçının.
Güvenlik açığı bilgilerini bizimle konuşmak için yalnızca resmi kanalları kullanın.
İfşa politikasına göre, tespit edilen güvenlik açığı bilgilerinin hepsini bunlar giderilene kadar gizli tutun.
Yalnızca kapsam dahilindeki sistemlerde test yapın ve kapsam dışı tutulan sistemlere ve faaliyetlere saygı duyun.
Bir güvenlik açığı, verilere istenmeyen erişim sağlıyorsa:
Eriştiğiniz veri miktarını, Kavram Kanıtı'nı göstermeye yetecek kadar asgari düzeyde tutun; ve
Test sırasında kişisel kimlik bilgileri (KKB), kişisel sağlık bilgileri (KSB), kredi kartı verileri veya özel bilgiler gibi bir kullanıcı verisiyle karşılaşırsanız testi durdurun ve derhal bir rapor gönderin;
Yalnızca sahibi olduğunuz test hesaplarıyla veya hesap sahibinin açık izni ile etkileşimde bulunun.
Şantaj yapmayın.
Güvenli liman sözleşmesi
Bu politika bağlamında güvenlik açığı araştırması yaparken, araştırmanın şunlara uygun olmasını bekliyoruz:
Yürürlükteki bilgisayar korsanlığı önleme yasalarına uygun olması; bu politikanın hata sonucu ve iyi niyetle ihlal edilmesi durumunda size karşı yasal işlem başlatmayacak veya bir şekilde başlatılırsa bunları desteklemeyeceğiz,
İlgili atlatma önleme yasalarına uygun olması; teknoloji kontrollerini atlattığınız için size karşı bir dava açmayacağız,
Güvenlik araştırması yapmayı engelleyecek Kabul Edilebilir Kullanım Politikamızdaki kısıtlamalardan hariç tutulması; Bu kısıtlamalardan belirli bir oranda feragat ediyoruz, ve
Yasal olması, internetin genel güvenliğine yardımcı olması ve iyi niyet içermesi.
Her zaman olduğu gibi, yürürlükteki tüm yasalara uymanız beklenir. Üçüncü bir şahıs tarafından aleyhinizde yasal işlem başlatılırsa ve siz bu politikaya uygun hareket ettiyseniz eylemlerinizin bu politikaya uygun şekilde yürütüldüğünü bildirmek için gerekli adımları atacağız.
Herhangi bir aşamada endişeleriniz varsa veya güvenlik araştırmanızın bu politikayla tutarlı olup olmadığından emin değilseniz daha fazla ilerlemeden önce lütfen resmi kanallarımızdan biri aracılığıyla bir rapor gönderin.
Tek seferlik 100.000 USD bonus ödül
Sunucularımızın güvenlik durumunu önemli ölçüde geliştiren TrustedServer adlı bir sistem sayesinde VPN sunucularımızı güvenli ve dirençli olmaları için tasarladık. Bu alandaki çalışmamızda kendimize güveniyoruz ve VPN sunucularımızın güvenlik beklentilerimizle uyuşmasını sağlamayı hedefliyoruz.
Bu bakımdan, araştırmacılarımızı VPN sunucularımızda aşağıdaki türden güvenlik sorunlarını test etmeye odaklanmaya davet ediyoruz:
bir VPN sunucusuna yetkisiz erişim veya uzaktan kod çalıştırma
VPN sunucumuzda müşterilerin gerçek IP adreslerinin sızmasına neden olan açıklar veya kullanıcı trafiğini takip edebilme
Bu ödülü alabilmeniz için kullanıcılarımızın gizliliğine etkisinin kanıtı gerekmektedir. Bunun için yetkisiz erişim, uzaktan kod çalıştırma, IP adresi sızıntısı veya şifrelenmemiş (VPN dışı şifrelenmiş) kullanıcı trafiğini takip edebilmenin ispatı gerekecektir.
Bu meydan okumayı daha cazip kılmak için şu bonusu sunuyoruz: Geçerli bir açık sunan ilk kişi ek olarak 100.000 USD bonus ödül alacak. Bu bonus, ödül alınana kadar geçerli olacaktır.
Kapsamı
TrustedServer'ı kullanıcılarımıza sunduğumuz tüm protokoller için bir platform olarak kullanıyoruz, bu nedenle tüm VPN sunucularımız bu kapsama dahildir.
Lütfen aktivitelerinizin bu programın kapsamı içinde kaldığından emin olun. Örneğin, kullandığımız veri merkezi hizmetleri için yönetici panelleri bu kapsamın dışındadır çünkü bu paneller ExpressVPN'e ait değildir ve ExpressVPN tarafından sunulmamakta ve işletilmemektedir. Gerçekleştirdiğiniz testin kapsam içinde olup olmadığından emin değilseniz lütfen önce doğrulamak için support@bugcrowd.com adresinden bize ulaşın. Kapsamın dışında bir test gerçekleştirdiği tespit edilen bir araştırmacı ödül alma hakkını kaybedecektir ve bu kişiyi programdan anında çıkarma hakkını saklı tutarız.
Ödül alma hakkı olmayan kişiler
Meydan okumamızı eşit şartlarda sağlamak için çalışıyoruz. Bu nedenle, aşağıdaki kişilerin ilk kritik bulgu için bonus ödülü alma hakkı bulunmamaktadır:
ExpressVPN'in veya Kape Technologies'in diğer alt kuruluşlarının tam zamanlı veya yarı zamanlı çalışanlarının yanı sıra arkadaşları ve aile üyeleri; ve
ExpressVPN'e bağlı veya diğer türlerde ilişkisi bulunan sözleşmeli çalışanlar, danışmanlar, temsilciler, tedarikçiler, bayiler veya diğer tüm kişiler.
Rapor nasıl gönderilir
Araştırmacılar raporlarını Bugcrowd üzerinden sunmalıdır. Alternatif olarak, security@expressvpn.com adresine e-posta ile gönderilen gönderimleri de kabul ediyoruz.
Lütfen dikkat: ExpressVPN, yazılım hatası bulma programlarını yönetmek için Bugcrowd'u kullanır. E-posta yoluyla rapor gönderdiğinizde önceliklendirme amacıyla e-posta adresinizi ve içeriği, platformun bir üyesi olmasanız bile, Bugcrowd ile paylaşırız.
Yazılım hatası bulma programımızda kimlerin ödüllendirildiğini öğrenin.