โปรแกรม Bug Bounty ของ ExpressVPN

ExpressVPN ดำเนินการเซิร์ฟเวอร์ VPN จำนวนหลายพันและสร้างแอปพลิเคชัน VPN บนแพลตฟอร์มต่าง ๆ สำหรับระบบปฏิบัติการหลักทั้งหมดรวมถึงเราเตอร์และส่วนขยายของเบราว์เซอร์

ExpressVPN ให้ความสำคัญกับความปลอดภัยของแอปพลิเคชันและบริการอย่างจริงจัง เราได้เสนอโปรแกรม Bug Bounty ในองค์กรมาหลายปีแล้ว และได้มอบเงินรางวัลให้กับนักวิจัยด้านความปลอดภัยหลายหมื่นดอลลาร์ นอกจากนี้เรายังให้ความสำคัญกับวิศวกรรมที่ยอดเยี่ยมและมองหาวิธีปรับปรุงความปลอดภัยของผลิตภัณฑ์และบริการของเราอยู่เสมอ

รับรางวัลด้วยโปรแกรมบั๊กโปรดปรานของเรา

ข้อมูลเป้าหมาย

ขอบเขต

ผลิตภัณฑ์และบริการต่อไปนี้อยู่ในขอบเขต:

  • เซิร์ฟเวอร์ VPN

  • แอปพลิเคชัน ExpressVPN iOS

  • แอปพลิเคชัน ExpressVPN Android

  • แอปพลิเคชัน ExpressVPN Linux

  • แอปพลิเคชัน ExpressVPN macOS

  • แอปพลิเคชัน ExpressVPN Windows

  • แอปพลิเคชัน ExpressVPN เราเตอร์

  • ส่วนขยาย ExpressVPN Firefox

  • ส่วนขยาย ExpressVPN Chrome

  • เซิร์ฟเวอร์ MediaStreamer DNS

  • ExpressVPN API

  • expressvpn.com

  • * .expressvpn.com

  • * .xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

เช่นเดียวกับทรัพย์สินที่ระบุไว้ข้างต้นยังอยู่ในขอบเขต:

  • ระบบภายในเช่น อีเมลของพนักงาน ข้อความแชทภายใน การโฮสต์ซอร์สโค้ด

  • ช่องโหว่ใด ๆ ที่ทำลายความเป็นส่วนตัวของพนักงานของเรา

โฟกัส

เราสนใจเป็นพิเศษใน:

  • ช่องโหว่ในแอปพลิเคชันไคลเอนต์ของเราโดยเฉพาะช่องโหว่ที่นำไปสู่การยกระดับสิทธิ์

  • การเข้าถึงที่ไม่ได้รับอนุญาตทุกประเภทบนเซิร์ฟเวอร์ VPN ของเรา

  • ช่องโหว่ที่เปิดเผยข้อมูลลูกค้าของเราต่อบุคคลที่ไม่ได้รับอนุญาต

  • ช่องโหว่ที่ทำให้อ่อนแอ ทำลาย หรือล้มล้างการสื่อสาร VPN ของเราในลักษณะที่เปิดเผยปริมาณการใช้งานของทุกคนที่ใช้ผลิตภัณฑ์ VPN ของเรา

นอกจากนี้โฮสต์ที่สามารถเข้าถึงได้แบบสาธารณะซึ่งเป็นเจ้าของหรือดำเนินการโดย ExpressVPN ที่ไม่อยู่ในรายการข้างต้นอาจได้รับการพิจารณาในขอบเขตเป็นกรณี ๆ ไป

สามารถพิจารณาคุณสมบัติ ExpressVPN ทั้งหมดได้ อย่างไรก็ตามไม่รวมวิธีการทดสอบบางอย่าง โดยเฉพาะอย่างยิ่งการทดสอบที่ทำให้คุณภาพการบริการลดลง เช่น DoS หรือสแปม จะไม่ได้รับการพิจารณาให้รวมเข้าด้วยกัน

แอปพลิเคชันของเราในเวอร์ชันเบต้าสาธารณะก็อยู่ในขอบเขตเช่นเดียวกัน คุณสามารถรับได้ผ่านหน้าผู้ทดสอบเบต้าของเรา

นอกเหนือขอบเขต

  • แอปพลิเคชันของเราในเวอร์ชันอัลฟ่า

  • วิศวกรรมสังคม (เช่น ฟิชชิง)

  • ความปลอดภัยทางกายภาพของสำนักงานเซิร์ฟเวอร์และพนักงานของเรา

  • ซอฟต์แวร์ของบริษัทอื่น (ยกเว้นในกรณีที่มีช่องโหว่ที่ใช้ประโยชน์ได้ เนื่องจากการกำหนดค่าผิดพลาดหรือระดับการแก้ไข)


พื้นที่ปลอดภัย

เราจัดให้มีพื้นที่ปลอดภัยเต็มรูปแบบตามข้อกำหนดหลักระดับโลกของ disclose.io

การรักษาความปลอดภัยเป็นหัวใจสำคัญของค่านิยมของเรา และเราให้ความสำคัญกับข้อมูลของแฮกเกอร์ที่ทำหน้าที่โดยสุจริตเพื่อช่วยให้เรารักษามาตรฐานระดับสูงสำหรับความปลอดภัยและความเป็นส่วนตัวสำหรับผู้ใช้ของเรา ซึ่งรวมถึงการสนับสนุนให้มีการวิจัยและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ นโยบายนี้กำหนดคำจำกัดความของความเชื่อที่ดีในบริบทของการค้นหาและรายงานช่องโหว่ตลอดจนสิ่งที่คุณคาดหวังจากเราในทางกลับกัน

ความคาดหวัง

เมื่อทำงานร่วมกับเราตามนโยบายนี้คุณสามารถคาดหวังให้เรา:

  • ขยายขอบเขตที่ปลอดภัยสำหรับการวิจัยช่องโหว่ของคุณที่เกี่ยวข้องกับนโยบายนี้

  • ทำงานร่วมกับคุณเพื่อทำความเข้าใจและตรวจสอบความถูกต้องของรายงานของคุณ รวมถึงการตอบกลับเบื้องต้นในเวลาที่เหมาะสม

  • ดำเนินการแก้ไขช่องโหว่ที่ค้นพบในเวลาที่เหมาะสม และ

  • ตระหนักถึงการมีส่วนร่วมของคุณในการปรับปรุงความปลอดภัยของเรา หากคุณเป็นคนแรกที่รายงานช่องโหว่ที่ไม่ซ้ำใครและรายงานของคุณทำให้เกิดการเปลี่ยนแปลงรหัสหรือการกำหนดค่า

กฎพื้นฐาน

เพื่อสนับสนุนการวิจัยเกี่ยวกับช่องโหว่และเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตและการโจมตีที่เป็นอันตราย เราขอสิ่งต่อไปนี้จากคุณ

  • เล่นตามกฎ ซึ่งรวมถึงการปฏิบัติตามนโยบายนี้ตลอดจนข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่เกี่ยวข้องข้อกำหนดของนโยบายนี้จะมีผลเหนือกว่า

  • รายงานช่องโหว่ที่คุณค้นพบโดยทันที

  • หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น รบกวนระบบของเรา ทำลายข้อมูลและ / หรือทำร้ายประสบการณ์ของผู้ใช้

  • ใช้เฉพาะช่องทางการเพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา

  • เก็บรายละเอียดของช่องโหว่ที่ค้นพบไว้เป็นความลับจนกว่าจะได้รับการแก้ไขตามนโยบายการเปิดเผยข้อมูล

  • ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขตและเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต

  • หากช่องโหว่ให้การเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ:

    • จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการแสดงหลักฐานแนวคิดอย่างมีประสิทธิภาพ และ

    • หยุดการทดสอบและส่งรายงานทันทีหากคุณพบข้อมูลผู้ใช้ใด ๆ ในระหว่างการทดสอบเช่น ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิตหรือข้อมูลที่เป็นกรรมสิทธิ์

  • คุณควรโต้ตอบกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดเจนจากเจ้าของบัญชี

  • ห้ามมีส่วนร่วมในการขู่กรรโชก

ข้อตกลงพื้นที่ปลอดภัย

เมื่อทำการวิจัยช่องโหว่ตามนโยบายนี้ เราถือว่างานวิจัยนี้ดำเนินการภายใต้นโยบายนี้เพื่อ:

  • ได้รับอนุญาตตามกฎหมายต่อต้านการแฮ็กที่เกี่ยวข้อง และเราจะไม่ดำเนินการหรือสนับสนุนการดำเนินการทางกฎหมายกับคุณสำหรับการละเมิดนโยบายนี้โดยไม่ได้ตั้งใจและโดยสุจริต

  • ได้รับอนุญาตตามกฎหมายต่อต้านการหลบเลี่ยงที่เกี่ยวข้องและเราจะไม่ยื่นข้อเรียกร้องต่อคุณสำหรับการหลีกเลี่ยงการควบคุมเทคโนโลยี

  • ได้รับการยกเว้นจากข้อจำกัดในนโยบายการใช้งานที่ยอมรับได้ของเราซึ่งจะรบกวนการดำเนินการวิจัยด้านความปลอดภัย และเราสละข้อจำกัดเหล่านั้นอย่างจำกัด และ

  • ชอบด้วยกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ตและดำเนินการโดยสุจริต

คุณต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดเช่นเคย หากบุคคลที่สามเริ่มดำเนินการทางกฎหมายและคุณได้ปฏิบัติตามนโยบายนี้ เราจะดำเนินการเพื่อให้ทราบว่าการกระทำของคุณได้ดำเนินการตามนโยบายนี้

หากเมื่อใดก็ตามที่คุณมีข้อกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของคุณสอดคล้องกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านช่องทางที่เป็นทางการของเราก่อนดำเนินการใด ๆ


รางวัลโบนัส $100,000 หนึ่งครั้ง

เราได้ออกแบบเซิร์ฟเวอร์ VPN ของเราให้ปลอดภัยและยืดหยุ่นผ่านระบบที่เรียกว่า TrustedServer ซึ่งปรับปรุงสถานะความปลอดภัยของเซิร์ฟเวอร์ของเราอย่างมาก เรามั่นใจในการทำงานของเราในด้านนี้และมีเป้าหมายเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ VPN ของเราตรงตามความคาดหวังด้านความปลอดภัยของเรา

ด้วยเหตุนี้ เราจึงเชิญนักวิจัยของเราให้มุ่งเน้นการทดสอบปัญหาด้านความปลอดภัยประเภทต่อไปนี้ภายในเซิร์ฟเวอร์ VPN ของเรา:

  • การเข้าถึงเซิร์ฟเวอร์ VPN หรือการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาต

  • ช่องโหว่ในเซิร์ฟเวอร์ VPN ของเราซึ่งส่งผลให้ที่อยู่ IP จริงของลูกค้ารั่วไหลหรือความสามารถในการตรวจสอบปริมาณการใช้งานของผู้ใช้

เพื่อให้มีคุณสมบัติในการรับเงินรางวัลนี้ เราจะต้องมีหลักฐานยืนยันผลกระทบต่อความเป็นส่วนตัวของผู้ใช้ของเรา สิ่งนี้จะต้องมีการสาธิตการเข้าถึงโดยไม่ได้รับอนุญาต การเรียกใช้โค้ดจากระยะไกล การรั่วไหลของที่อยู่ IP หรือความสามารถในการตรวจสอบการรับส่งข้อมูลของผู้ใช้ที่ไม่ได้เข้ารหัส (ไม่เข้ารหัส VPN)

เพื่อให้ความท้าทายนี้น่าดึงดูดยิ่งขึ้น เราขอนำเสนอโบนัสต่อไปนี้: บุคคลแรกที่ส่งช่องโหว่ที่ถูกต้องจะได้รับเงินรางวัลเพิ่มเติม 100,000 เหรียญสหรัฐ โบนัสนี้จะใช้ได้จนกว่าจะมีการรับรางวัล

ขอบเขต

เราใช้ TrustedServer เป็นแพลตฟอร์มสำหรับโปรโตคอลทั้งหมดที่เราเสนอให้ผู้ใช้ ดังนั้นเซิร์ฟเวอร์ VPN ทั้งหมดของเราจึงถือว่าอยู่ในขอบเขต

โปรดตรวจสอบให้แน่ใจว่ากิจกรรมของคุณยังคงอยู่ในขอบเขตของโปรแกรม ตัวอย่างเช่น แผงผู้ดูแลระบบสำหรับบริการศูนย์ข้อมูลที่เราใช้อยู่นอกขอบเขตเนื่องจาก ExpressVPN ไม่ได้เป็นเจ้าของ โฮสต์ และดำเนินการโดย ExpressVPN หากคุณไม่แน่ใจว่าการทดสอบของคุณถือว่าอยู่ในขอบเขตหรือไม่ โปรดติดต่อ support@bugcrowd.com เพื่อยืนยันก่อน นักวิจัยพบว่ามีการทดสอบนอกขอบเขตจะไม่มีสิทธิ์ได้รับรางวัล และเราจะสงวนสิทธิ์ในการลบบุคคลออกจากโปรแกรมทันที

ข้อยกเว้น

เรามุ่งมั่นเพื่อให้แน่ใจว่าความท้าทายของเราอยู่ในสนามแข่งขันที่เท่าเทียมกัน ดังนั้น บุคคลต่อไปนี้จึงไม่มีสิทธิ์รับโบนัสสำหรับการค้นพบที่สำคัญครั้งแรก:

  • พนักงานเต็มเวลาหรือนอกเวลาของ ExpressVPN หรือบริษัทในเครืออื่น ๆ ของ Kape Technologies ตลอดจนเพื่อนและครอบครัวของพวกเขา และ

  • ผู้รับเหมา ที่ปรึกษา ตัวแทน ซัพพลายเออร์ ผู้ขาย หรือบุคคลอื่นใดที่เกี่ยวข้องหรือเกี่ยวข้องกับ ExpressVPN

วิธีการส่งรายงาน

นักวิจัยควรส่งรายงานผ่าน Bugcrowd นอกจากนี้เรายังยอมรับการส่งทางอีเมลไปที่ security@expressvpn.com

โปรดทราบ: ExpressVPN ใช้ Bugcrowd เพื่อจัดการโปรแกรม bug bounty ทั้งหมด การส่งทางอีเมลหมายความว่าเราจะแชร์ที่อยู่อีเมลของคุณและแบ่งปันเนื้อหากับ Bugcrowd เพื่อจุดประสงค์ในการตรวจสอบข้อมูลแม้ว่าคุณจะไม่ได้เป็นสมาชิกของแพลตฟอร์มก็ตาม

ค้นหาผู้ที่ได้รับรางวัลในโปรแกรม bug bounty ของเรา