El programa de Bug Bounty de ExpressVPN
ExpressVPN opera miles de servidores VPN y crea aplicaciones VPN multiplataforma para los principales sistemas operativos, así como para routers y extensiones de navegador.
ExpressVPN se toma muy en serio la seguridad de sus aplicaciones y servicios. Hemos ofrecido un programa interno de "bug bounty" desde hace años y hemos otorgado decenas de miles de dólares en premios a investigadores de seguridad. Le damos mucho valor a la buena ingeniería y siempre estamos buscando maneras de mejorar la seguridad de nuestros productos y servicios.
Información objetivo
Ámbito
Los siguientes productos y servicios caen dentro del ámbito:
Servidores de VPN
Aplicación de ExpressVPN para iOS
Aplicación de ExpressVPN para Android
Aplicación de ExpressVPN para Linux
Aplicación de ExpressVPN para macOS
Aplicación de ExpressVPN para Windows
Aplicación de ExpressVPN para routers
Extensión de ExpressVPN para Firefox
Extensión de ExpressVPN para Chrome
Servidores DNS de MediaStreamer
API de ExpressVPN
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store (886492891)
Google Play (com.expressvpn.vpn)
Lo siguiente también cae dentro del ámbito:
Sistemas internos, por ejemplo, correos electrónicos de los empleados, mensajes de chat internos, hosting de código fuente.
Cualquier vulnerabilidad que ponga en riesgo la privacidad de nuestros empleados.
Enfoque
Estamos particularmente interesados en:
Vulnerabilidades en nuestras aplicaciones de cara al cliente, especialmente vulnerabilidades que lleven a un incremento de privilegios.
Cualquier tipo de acceso no autorizado a nuestros servidores de VPN.
Vulnerabilidades que expongan los datos de nuestros clientes a personas no autorizadas.
Vulnerabilidades que debiliten, rompan o subviertan nuestras comunicaciones de VPN de tal manera que quede expuesto el tráfico de cualquier persona que use nuestros productos de VPN.
Adicionalmente, cualquier host públicamente accesible que sea propiedad o sea operado por ExpressVPN y que no aparezca en la lista anterior podrá considerarse dentro del ámbito en casos específicos.
Todas las propiedades de ExpressVPN pueden considerarse incluidas. Sin embargo, ciertos métodos de prueba se excluyen. Específicamente pruebas que degraden la calidad del servicio, como DoS o spam, no se considerarán incluidas.
Las versiones beta públicas de nuestras aplicaciones también se encuentran incluidas. Usted puede obtenerlas en nuestra página para usuarios beta.
Fuera del ámbito
Versiones alfa de nuestras aplicaciones.
Ingeniería social (por ejemplo, phishing).
Seguridad física de nuestras oficinas, servidores y empleados.
Software de terceros (excepto en casos donde exista una vulnerabilidad explotable debido a una mala configuración o nivel de parche).
Puerto seguro
Ofrecemos puerto seguro según los lineamientos de disclose.io core-terms-GLOBAL
La seguridad es uno de nuestros principales valores y apreciamos mucho los aportes de los hackers que actúan de buena fe para ayudarnos a mantener unos altos estándares de seguridad y privacidad para nuestros usuarios. Esto incluye fomentar unas investigaciones y divulgación responsables de vulnerabilidades. Esta política establece nuestra definición de buena fe en el contexto de hallar y reportar vulnerabilidades, así como de lo que se puede esperar de nosotros a cambio.
Expectativas
Al trabajar con nosotros en base a esta política, usted puede esperar que nosotros:
Ofrezcamos puerto seguro a su investigación de vulnerabilidad relacionada con esta política
Trabajemos con usted para comprender y validar su informe, incluyendo una respuesta inicial oportuna a su envío.
Trabajemos para remediar vulnerabilidades descubiertas de manera oportuna, y
Otorguemos reconocimiento a su contribución con nuestra seguridad si usted es el primero en reportar una vulnerabilidad única y si reporte genera un cambio en el código o en la configuración
Reglas básicas
Para fomentar las investigaciones de vulnerabilidades y para evitar cualquier confusión entre hackeos de buena fe y ataques malintencionados, le solicitamos lo siguiente.
Cumpla con las reglas. Esto incluye seguir lo establecido en esta política, así como cualquier otro acuerdo relevante. Si hubiese cualquier inconsistencia entre esta política y otros términos relevantes, los términos de esta política prevalecerán
Reporte cualquier vulnerabilidad que haya descubierto de manera oportuna
Evite vulnerar la privacidad de los demás, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario
Use solamente los canales oficiales para discutir con nosotros información acerca de las vulnerabilidades
Mantenga la confidencialidad de cualesquiera vulnerabilidades que haya descubierto hasta que se hayan reparado, según la política de divulgación
Ejecute pruebas solamente en sistemas pertinentes y respete los sistemas y actividades que no sean pertinentes
En caso de que una vulnerabilidad le brinde acceso a los datos:
Limite la cantidad de datos a los que acceda al mínimo requerido para garantizar la efectividad
Cese de realizar pruebas y envíe inmediatamente un informe si encuentra cualquier dato perteneciente a los usuarios durante las pruebas, como información personal identificable (IPI), información personal médica (IPM), información de tarjetas de crédito o información confidencial
Solo debe interactuar con las cuentas de prueba que sean de su propiedad o con autorización explícita del propietario
No perpetrar extorsión
Acuerdo de puerto seguro
Al realizar estudios de vulnerabilidad según esta política, consideraremos que la investigación realizada bajo esta política estará:
Autorizada en vista de cualquier ley anti hackeo aplicable, por lo que no iniciaremos ni apoyaremos acciones legales contra usted por violaciones accidentales y en buena fe de esta política
Autorizada en vista de cualquier ley contra evasión, por lo que no entablaremos querellas contra usted por evadir los controles tecnológicos
Exenta de restricciones en nuestra Política de Uso Aceptable que interfiera con la realización de las investigaciones de seguridad, y renunciamos a dichas restricciones de manera limitada, y
Será legal, en beneficio de la seguridad de internet en general y llevada a cabo de buena fe.
Como siempre, de usted se espera un fiel cumplimiento de todas las leyes aplicables. En caso de que un tercero emprendiese acciones legales contra usted y usted ha cumplido con esta política, tomaremos acciones para hacer saber que sus acciones se realizaron de conformidad con esta política.
Si en cualquier momento le surgen preocupaciones o inquietudes acerca de si su investigación es acorde con esta política, envíe un informe mediante uno de nuestros canales oficiales antes de proseguir.
Incentivo único de 100.000 USD
Hemos diseñado nuestros servidores VPN para que sean seguros y resistentes mediante un sistema llamado TrustedServer, que mejora radicalmente las condiciones de seguridad de nuestros servidores. Tenemos una gran confianza en el trabajo que hemos realizado en esta área, y nuestro objetivo es garantizar que nuestros servidores VPN cumplan con nuestras expectativas de seguridad.
Por tanto, invitamos a nuestros investigadores a que enfoquen sus pruebas en los siguientes tipos de problemas de seguridad en nuestros servidores de VPN:
Acceso no autorizado a un servidor VPN o ejecución remota de código.
Vulnerabilidades en nuestro servidor de VPN que produzcan filtraciones de las direcciones IP reales de nuestros clientes o la capacidad de monitorear el tráfico de los usuarios.
Para poder cobrar la recompensa, la persona deberá suministrar evidencias del impacto en la privacidad de nuestros usuarios. Esto requiere de una demostración de un acceso no autorizado, ejecución remota de código, filtración de dirección IP o la capacidad de monitorear tráfico no encriptado (no encriptado por VPN) de los usuarios.
Para que este desafío resulte más interesante, ofrecemos el siguiente incentivo: la primera persona en enviarnos una vulnerabilidad válida recibirá una recompensa adicional de 100.000 USD. Este incentivo será válido hasta que se cobre la recompensa.
Ámbito
Usamos TrustedServer como plataforma para todos los protocolos que ofrecemos a nuestros usuarios, así que todos nuestros servidores VPN están incluidos en el ámbito de este incentivo.
Por favor, asegúrense de que sus actividades se encuentren dentro del ámbito del programa. Por ejemplo, los paneles de administración para servicios de centros de datos que utilizamos no están dentro del ámbito, porque no pertenecen, no están alojados y no son operados por ExpressVPN. Si no está seguro de si sus pruebas están dentro del ámbito, por favor comuníquese antes con support@bugcrowd.com para confirmar. Aquellos investigadores que estén haciendo pruebas fuera del ámbito no serán elegibles para recompensas, y nos reservamos el derecho de eliminarlos inmediatamente del programa.
Exclusiones
Nos esforzamos por procurar que nuestros desafíos se realicen en igualdad de condiciones para los participantes. Así, los siguientes individuos no serán elegibles para cobrar el incentivo por el primer descubrimiento clave:
Empleados a tiempo completo o tiempo parcial de ExpressVPN o cualquier otra subsidiaria de Kape Technologies, así como sus familiares o amigos, y
Contratistas, consultores, representantes, proveedores o cualquier otra persona relacionada o de algún otro modo afiliada con ExpressVPN.
Cómo enviar un reporte
Los investigadores deben enviar sus informes mediante Bugcrowd. Alternativamente, aceptamos también envíos por correo a security@expressvpn.com.
Tenga en cuenta: ExpressVPN usa Bugcrowd para gestionar todos sus programas de "bug bounty". Enviar información por correo electrónico implica que compartiremos su dirección de correo electrónico y compartiremos contenidos con Bugcrowd para propósitos de triaje, incluso si usted no es miembro de la plataforma.
Entérese de quién ha sido recompensado en nuestro programa de "bug bounty".