Bug Bounty

Il programma di bug bounty di ExpressVPN

ExpressVPN gestisce migliaia di server VPN e realizza applicazioni VPN multi-piattaforma per tutti i principali sistemi operativi desktop e per dispositivi mobili, oltre a router ed estensioni per navigatori. La sicurezza è un aspetto fondamentale per i nostri principi e teniamo in particolare considerazione il contributo degli hacker, poiché agiscono in buona fede per aiutarci a mantenere uno standard elevato di sicurezza e privacy per i nostri utenti. Questo include anche incoraggiare la ricerca e la divulgazione responsabile delle vulnerabilità. Da anni offriamo un programma interno di bug bounty (un premio per chi scopre le problematiche) e in questo periodo abbiamo pagato migliaia di dollari ai responsabili della sicurezza. Apprezziamo l'alta qualità della progettazione e siamo sempre alla ricerca di soluzioni per migliorare la sicurezza dei nostri prodotti e servizi. Segnala un bug

Ottieni ricompense con il nostro programma bug bounty.

Informazioni sull'obiettivo
Safe harbor
Irripetibile premio bonus da 100.000 dollari
Come inviare una segnalazione

Informazioni sull'obiettivo

Ambito di applicazione

L’ambito di applicazione comprende i seguenti prodotti e servizi:

*.expressvpn.com
expressvpn.jobs
API di ExpressVPN
https://xv-cp.apis-staging.xvtest.net/
https://cp.expressapisv2.net
https://api.expressvpn.com
https://api.enc.kape.com
https://api.dbs.kape.com
https://api.dts.kape.com
https://api.blts.kape.com
https://api.pcrs.kape.com
https://api.jwks.kape.com
Server VPN
Router ExpressVPN
*.xvtest.net
*.xvservice.net
it.xvservice.net
1pw-scim.prd.iat.it.xvservice.net
gatekeeper.prd.iat.it.xvservice.net
iat.it.xvservice.net
prd.iat.it.xvservice.net
vector.prd.iat.it.xvservice.net
gh-mail.expressvpn.com
*.polymoon.it
networkguard.com
Qualsiasi applicazione nell'ambito di https://www.expressvpn.com/latest
https://github.com/expressvpn/lightway-core
https://github.com/expressvpn/lightway

Focus

Siamo particolarmente interessati a:

vulnerabilità nelle nostre applicazioni client, in particolare vulnerabilità che portano a un incremento dei privilegi
qualsiasi tipo di accesso non autorizzato ai nostri server VPN
vulnerabilità che espongono i dati dei nostri clienti a persone non autorizzate
vulnerabilità che indeboliscono, interrompono o sovvertono in altro modo le nostre comunicazioni VPN in modo da esporre il traffico di chiunque utilizzi i nostri prodotti VPN

Inoltre, qualsiasi host accessibile pubblicamente di proprietà o gestito da ExpressVPN, che non è nell'elenco di cui sopra, può essere considerato nell'ambito di applicazione in base ai casi specifici. Tutte le proprietà di ExpressVPN possono essere considerate incluse. Tuttavia, alcune metodologie di prova sono escluse. In particolare, i test che degradano la qualità del servizio, ad esempio DoS o spam, non saranno inclusi. Anche le versioni beta pubbliche delle nostre applicazioni rientrano nell'ambito di applicazione. Puoi ottenerle tramite la nostra pagina beta tester.

Esclusi dall'ambito di applicazione

Tutti i domini o sotto-domini non elencati nel precedente elenco di ‘Ambito di applicazione’.

Safe harbor

Forniamo un "porto sicuro" (Safe Harbor) secondo i termini essenziali di disclose.io. La sicurezza è fondamentale secondo i nostri valori e apprezziamo il contributo degli hacker che agiscono in buona fede per aiutarci a mantenere uno standard elevato per la sicurezza e la privacy dei nostri utenti. Ciò include l'incoraggiamento alla ricerca e alla divulgazione responsabile delle vulnerabilità. Questa politica stabilisce la nostra definizione di buona fede nel contesto della ricerca e della segnalazione delle vulnerabilità, nonché cosa ci si può aspettare da noi in cambio.

Aspettative

Lavorando con noi secondo questa politica, ecco cosa potrai aspettarti:

Estenderemo il porto sicuro per la ricerca sulla vulnerabilità correlata a questa politica
Collaboreremo con te per comprendere e convalidare la tua segnalazione, inclusa una tempestiva risposta iniziale alla presentazione
Lavoreremo per porre rimedio in modo tempestivo alle vulnerabilità scoperte; e riconosceremo il tuo contributo al miglioramento della nostra sicurezza se seiil primo a segnalare una vulnerabilità esclusiva e se il tuo report riguarda una modifica del codice o della configurazione.

Regole di base

Per incoraggiare la ricerca sulle vulnerabilità ed evitare qualsiasi confusione tra pirateria informatica in buona fede e attacchi dannosi, ti chiediamo quanto segue.

Gioca rispettando le regole. Ciò include il rispetto di questa politica, così come qualsiasi altro accordo pertinente. In caso di incongruenze tra questa politica e altri termini pertinenti, prevarranno i termini di questa politica.
Segnala tempestivamente qualsiasi vulnerabilità che hai scoperto
Evita di violare la privacy di altri, interrompere i nostri sistemi, distruggere i dati e/o danneggiare l'esperienza dell'utente
Utilizza solo canali ufficiali per discutere con noi delle informazioni sulla vulnerabilità
Mantieni riservati i dettagli di eventuali vulnerabilità scoperte fino a quando non vengono risolte, secondo la politica di divulgazione
Esegui i test solo sui sistemi in ambito e rispetta i sistemi e le attività che non rientrano nell'ambito
Se una vulnerabilità fornisce un accesso non intenzionale ai dati:
- Limita la quantità di dati a cui accedi al minimo richiesto per dimostrare in modo efficace una prova di concetto; e
- Interrompi il test e invia immediatamente una segnalazione se durante il test riscontri dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie

Dovresti interagire solo con gli account di prova che possiedi o con il permesso esplicito del titolare dell'account
Non impegnarti in attività di estorsione

Accordo Safe Harbor (porto sicuro)

Nel condurre le ricerche sulla vulnerabilità secondo questa politica, consideriamo che la ricerca condotta in base a questa politica sia:

Autorizzata alla luce di eventuali leggi anti-hacking applicabili e non avvieremo né sosterremo azioni legali contro di te per violazioni accidentali e in buona fede di questa politica
Autorizzata alla luce delle leggi antielusione pertinenti e non avvieremo un reclamo contro di te per elusione dei controlli tecnologici;
Esente da restrizioni incluse nella nostra Politica di utilizzo accettabile che potrebbero interferire con la conduzione di ricerche sulla sicurezza e rinunciamo a tali restrizioni su base limitata
Legale, utile per la sicurezza generale di internet e condotta in buona fede.

Siete tenuti, come sempre, a rispettare tutte le leggi applicabili. Se un'azione legale viene avviata da una terza parte contro di te e hai rispettato questa politica, adotteremo misure per far sapere che le tue azioni sono state condotte in conformità con questa politica. Se in qualsiasi momento hai dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questa politica, invia una segnalazione tramite uno dei nostri canali ufficiali prima di proseguire.

Irripetibile premio bonus da 100.000 dollari

Abbiamo progettato i nostri server VPN per essere sicuri ed elastici, attraverso un sistema chiamato TrustedServer, che migliora notevolmente la sicurezza dei nostri server. Abbiamo fiducia del nostro lavoro in questo settore e puntiamo a garantire server VPN che soddisfino le nostre aspettative di sicurezza. Pertanto, stiamo invitando i nostri ricercatori a concentrare i test sui seguenti tipi di problemi di sicurezza all'interno dei nostri server VPN:

accesso non autorizzato a un server VPN o esecuzione di codice remoto
vulnerabilità nel nostro server VPN che si traducono nell'esposizione degli indirizzi IP reali dei clienti o la capacità di monitorare il traffico degli utenti

Per ottenere questo premio, richiederemo la prova dell'impatto sulla privacy dei nostri utenti. Ciò richiederà la dimostrazione di accesso non autorizzato, esecuzione di codice remoto, esposizione degli indirizzi IP, o la capacità di monitorare il traffico utente non crittografato (non crittografato VPN). Per rendere questa sfida ancora più eccitante, introdurremo il seguente bonus: la prima persona a presentare una vulnerabilità valida riceverà una ricompensa aggiuntiva di 100.000 dollari. Questo bonus sarà valido fino a quando il premio non sarà stato reclamato.

Ambito

Usiamo TrustedServer come piattaforma per tutti i protocolli che offriamo ai nostri utenti, quindi tutti i nostri server VPN sono considerati in quest'ambito. Assicurati che le tue attività rimangano nell'ambito del programma. Ad esempio, i pannelli di amministrazione dei servizi di data center che utilizziamo non rientrano nell'ambito, perché non sono posseduti, ospitati e gestiti da ExpressVPN. Se non sei sicuro che il tuo test rientri nell'ambito di applicazione, consulta prima di tutto YesWeHack per confermarlo. Se un ricercatore viene scoperto a testare al di fuori dell'ambito di applicazione, non avrà diritto alla ricompensa e ci riserviamo il diritto di rimuoverlo immediatamente dal programma.

Esclusioni

Ci sforziamo di garantire che le nostre sfide siano eque per tutti. Pertanto, i seguenti individui non possono richiedere il bonus per aver scovato per primi un bug critico:

dipendenti a full time o part time di ExpressVPN o di qualsiasi altra filiale di Kape Technologies, così come i loro amici e familiari; e
appaltatori, consulenti, rappresentanti, fornitori, venditori o qualsiasi altra persona collegata o affiliata a ExpressVPN.

Come inviare una segnalazione

I ricercatori dovranno inviare le loro segnalazioni attraverso YesWeHack. In alternativa, accettiamo anche invii tramite e-mail a security@expressvpn.com. Attenzione: ExpressVPN utilizza YesWeHack per gestire tutti i programmi di bug bounty. L'invio tramite e-mail comporta la condivisione del tuo indirizzo e-mail e dei contenuti con YesWeHack ai fini del processo di triage, anche se non sei un membro della piattaforma. Scopri chi è stato premiato nel nostro programma di bug bounty.