Programa de Recompensas por Bugs da ExpressVPN
A ExpressVPN opera milhares de servidores VPN e faz aplicações VPN multiplataforma para todos os principais sistemas operacionais, bem como roteadores e extensões de navegadores.
A ExpressVPN leva a sério a segurança de suas aplicações e serviços. Há anos oferecemos um programa interno de recompensa por bugs e concedemos dezenas de milhares de dólares a pesquisadores de segurança. Valorizamos a excelente engenharia e estamos sempre procurando maneiras de melhorar a segurança de nossos produtos e serviços.
Informação de interesse
Escopo
Os seguintes produtos e serviços estão no escopo:
Servidores VPN
Aplicativo ExpressVPN iOS
Aplicativo ExpressVPN Android
Aplicativo ExpressVPN Linux
Aplicativo da ExpressVPN macOS
Aplicativo Windows ExpressVPN
Aplicativo do roteador ExpressVPN
Extensão ExpressVPN Firefox
Extensão ExpressVPN Chrome
Servidores DNS MediaStreamer
APIs da ExpressVPN
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
Assim como os recursos listados acima, também estão no escopo:
sistemas internos, por exemplo, e-mail de funcionários, mensagens de chat internas, hospedagem do código fonte,
qualquer vulnerabilidade que comprometa a privacidade de nossos funcionários.
Foco
Estamos particularmente interessados em:
vulnerabilidades nas aplicações de nossos clientes, especialmente vulnerabilidades que levam a um aumento de privilégios,
qualquer tipo de acesso não autorizado em nossos servidores VPN,
vulnerabilidades que expõem os dados de nossos clientes a pessoas não autorizadas,
vulnerabilidades que enfraquecem, quebram ou de outra forma subvertem nossas comunicações VPN de forma a expor o tráfego de qualquer pessoa que utilize nossos produtos de VPN.
Além disso, qualquer host acessível ao público que seja de propriedade ou operado pela ExpressVPN e que não esteja na lista acima pode ser considerado no escopo, dependendo do caso.
Todas as propriedades da ExpressVPN podem ser consideradas incluídas. Entretanto, certas metodologias de teste estão excluídas. Especificamente, testes que degradam a qualidade do serviço, por exemplo, DoS ou spam, não serão considerados para inclusão.
As versões beta públicas de nossos aplicativos também estão no escopo. Você pode obtê-los através da nossa página de teste beta.
Fora do escopo
Versões alfa de nossas aplicações
Engenharia social (por exemplo, phishing)
Segurança física de nossos escritórios, servidores e funcionários
Software de terceiros (exceto nos casos em que há uma vulnerabilidade explorável devido a má configuração ou nível de patch)
Safe harbor
Fornecemos um safe harbor completo, de acordo com as normas Globais da disclose.io.
A segurança é fundamental para nossos valores, e valorizamos a entrada de hackers agindo de boa fé para nos ajudar a manter um alto padrão de segurança e privacidade para nossos usuários. Isto inclui o incentivo à pesquisa e divulgação responsável de vulnerabilidades. Esta política estabelece nossa definição de boa fé no contexto de encontrar e reportar vulnerabilidades, assim como o que você pode esperar de nós em troca.
Expectativas
Ao trabalhar conosco de acordo com esta política, você pode esperar que nós o façamos:
estender o porto seguro para sua pesquisa de vulnerabilidade que está relacionada a esta política;
trabalhar com você para compreender e validar seu relatório, incluindo uma resposta inicial após o envio;
trabalhar para remediar as vulnerabilidades descobertas de forma oportuna; e
reconhecer sua contribuição para melhorar nossa segurança se você for o primeiro a relatar uma vulnerabilidade única, e seu relatório desencadeia uma mudança de código ou configuração.
Regras básicas
Para incentivar a pesquisa de vulnerabilidade e evitar qualquer confusão entre hacking de boa fé e ataques maliciosos, pedimos o seguinte de vocês.
Siga as regras. Isto inclui seguir esta política, assim como quaisquer outros acordos relevantes. Se houver qualquer inconsistência entre esta política e quaisquer outros termos relevantes, os termos desta política prevalecerão.
Relate qualquer vulnerabilidade que você tenha descoberto prontamente.
Evite violar a privacidade de outros, perturbar nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário.
Use apenas os canais oficiais para discutir conosco informações sobre vulnerabilidade.
Mantenha os detalhes de quaisquer vulnerabilidades descobertas em sigilo até que elas sejam corrigidas, de acordo com a política de divulgação.
Realize testes somente em sistemas dentro do escopo e respeitar sistemas e atividades que estejam fora do escopo.
Se uma vulnerabilidade fornecer acesso não intencional aos dados:
limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
cessar os testes e enviar um relatório imediatamente se você encontrar quaisquer dados de usuário durante os testes, tais como informações pessoais identificáveis (PII), informações pessoais de saúde (PHI), dados de cartão de crédito, ou informações de propriedade;
Você só deve interagir com as contas de teste que você possui ou com permissão explícita do titular da conta.
Não se envolva em extorsão.
Acordo de Safe Harbor
Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos esta pesquisa conduzida sob esta política como sendo:
autorizada em vista de quaisquer leis anti-hacking aplicáveis, e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política;
autorizada tendo em vista as leis anti-evasão relevantes, e não apresentaremos nenhuma reclamação contra você por evasão aos controles tecnológicos;
isenta de restrições em nossa Política de Uso Aceitável que interfiram na condução de pesquisas de segurança, e renunciamos a essas restrições de forma limitada; e
lícita, útil para a segurança geral da Internet, e conduzido de boa fé.
Espera-se, como sempre, que você cumpra com todas as leis aplicáveis. Se uma ação legal for iniciada por um terceiro contra você e você tiver cumprido esta política, tomaremos medidas para informar que suas ações foram conduzidas em conformidade com esta política.
Se a qualquer momento você tiver preocupações ou estiver incerto se sua pesquisa de segurança é consistente com esta política, favor apresentar um relatório através de um de nossos canais oficiais antes de continuar.
Prêmio de bônus único de US$ 100.000
Projetamos nossos servidores VPN para serem seguros e resilientes por meio de um sistema chamado TrustedServer, que melhora drasticamente a postura de segurança de nossos servidores. Estamos confiantes em nosso trabalho nessa área e nosso objetivo é garantir que nossos servidores VPN atendam às nossas expectativas de segurança.
Como tal, estamos convidando nossos pesquisadores a focar os testes nos seguintes tipos de problemas de segurança em nossos servidores VPN:
acesso não autorizado a um servidor VPN ou execução remota de código
vulnerabilidades em nosso servidor VPN que resultam no vazamento de endereços IP reais de clientes ou a capacidade de monitorar o tráfego do usuário
Para ter direito a esse prêmio, exigiremos prova de impacto na privacidade de nosso usuário. Isso exigirá demonstração de acesso não autorizado, execução remota de código, vazamento de endereço IP ou a capacidade de monitorar o tráfego de usuário não criptografado (não criptografado por VPN).
Para tornar esse desafio mais atraente, criamos o seguinte bônus: a primeira pessoa a enviar uma vulnerabilidade válida receberá um bônus adicional de US$ 100.000. Este bônus será válido até que o prêmio seja reivindicado.
Escopo
Utilizamos o TrustedServer como plataforma para todos os protocolos que oferecemos aos nossos usuários, por isso todos os nossos servidores VPN são considerados no escopo.
Certifique-se de que suas atividades permaneçam dentro do escopo do programa. Por exemplo, painéis de administração para serviços de data center que utilizamos estão fora do escopo porque não são de propriedade, hospedados e operados pela ExpressVPN. Se você não tiver certeza se seu teste é considerado dentro do escopo, entre em contato com support@bugcrowd.com para confirmar. Um pesquisador que esteja testando fora do escopo será inelegível para uma recompensa, e nos reservaremos o direito de remover imediatamente o indivíduo do programa.
Exclusões
Nós nos esforçamos para garantir que nossos desafios sejam conduzidos com condições iguais para todos. Assim, os seguintes indivíduos não são elegíveis para reivindicar o bônus pela primeira descoberta crítica:
funcionários em tempo integral ou parcial da ExpressVPN ou qualquer outra subsidiária da Kape Technologies, bem como seus amigos e familiares; e
contratados, consultores, representantes, fornecedores, vendedores ou quaisquer outras pessoas relacionadas ou afiliadas à ExpressVPN.
Como enviar um relatório
Os pesquisadores devem apresentar seus relatórios através do Bugcrowd. Alternativamente, também aceitamos envios por e-mail pelo security@expressvpn.com.
Atenção: A ExpressVPN utiliza o Bugcrowd para gerenciar todos os programas de recompensa de bugs. O envio por e-mail significa que compartilharemos seu endereço de e-mail e conteúdo com o Bugcrowd para fins de triagem, mesmo que você não seja um membro da plataforma.
Descubra quem foi recompensado em nosso programa de recompensa de bugs.