ExpressVPN 버그 바운티 프로그램
ExpressVPN은 수천 개의 VPN 서버를 운영하며 라우터와 브라우저 확장 프로그램과 같은 모든 주요 운영 체제에서 사용 가능한 크로스 플랫폼 VPN 애플리케이션을 만듭니다.
ExpressVPN은 당사의 애플리케이션과 서비스의 보안을 매우 중요하게 생각합니다. 당사는 수년 간 내부 버그 바운트 프로그램을 운영해왔으며 지금까지 보안 전문가들에게 수만 달러의 포상금을 지급했습니다. 당사는 훌륭한 엔지니어링을 가치있게 생각하며 항상 당사의 제품과 서비스의 보안을 향상시킬 수 있는 방법을 모색하고 있습니다.
표적 정보
적용 범위
적용 범위 내 제품과 서비스는 다음과 같습니다.
VPN 서버
ExpressVPN iOS 애플리케이션
ExpressVPN Android 애플리케이션
ExpressVPN Linux 애플리케이션
ExpressVPN macOS 애플리케이션
ExpressVPN Windows 애플리케이션
ExpressVPN 라우터 애플리케이션
ExpressVPN Firefox 확장 프로그램
ExpressVPN Chrome 확장 프로그램
MediaStreamer DNS 서버
ExpressVPN API
expressvpn.com
*.expressvpn.com
*.xvservice.net
expressobutiolem.onion
Apple App Store(886492891)
Google Play(com.expressvpn.vpn)
또한 아래에 나열된 자산도 적용 범위에 속합니다.
내부 시스템, 예: 직원 이메일, 내부 채팅 메시지, 소스 코드 호스팅,
당사 직원의 개인 정보를 손상시키는 모든 취약점.
주요 사항
당사는 다음 사항에 특히 관심이 있습니다.
클라이언트 애플리케이션 내 취약점, 특히 권한 상승을 이끄는 취약점,
당사의 VPN 서버에 대한 모든 종류의 승인되지 않은 액세스,
승인되지 않은 자에게 당사 고객의 데이터를 노출시키는 취약점,
당사의 VPN 제품을 사용하는 누군가의 트래픽을 노출시키는 방법으로 당사의 VPN 통신을 약하게 하거나, 망가뜨리거나, 파괴하는 취약점.
또한, 위에 나열되지 않은 ExpressVPN이 소유하거나 운영하는 공개적으로 액세스 가능한 모든 호스트도 사례에 따라 적용 범위에 속하는 것으로 고려될 수 있습니다.
모든 ExpressVPN 속성은 적용 범위에 속하는 것으로 간주될 수 있습니다. 그러나 특정 테스트 방법론은 제외됩니다. 특히 서비스 품질을 저하시키는 테스트(예: DoS 또는 스팸)는 적용 범위에 속하는 것으로 고려되지 않습니다.
저희 ExpressVPN 애플리케이션의 공개 베타 버전도 적용 범위에 속합니다. 저희 베타 테스터 페이지를 통해서 애플리케이션의 베타 버전을 이용할 수 있습니다.
적용 외 범위
당사 애플리케이션의 알파 버전
소셜 엔지니어링(예: 피싱)
당사 사무실, 서버 및 직원의 물리적 보안
제3자 소프트웨어(패치 수준 또는 잘못된 구성으로 인한 악용 가능한 취약점이 있는 경우 제외)
세이프 하버
당사는 disclose.io의 core-terms-GLOBAL에 따라 세이프 하버를 제공합니다.
보안은 당사가 가치있게 생각하는 것의 핵심이며, 당사가 계속해서 당사의 사용자에게 고품질의 보안 및 개인 정보 보호를 제공할 수 있도록 도움을 주기 위해 선의있게 행동하는 해커의 개입을 가치있게 생각합니다. 여기에는 원인이 되는 취약점 조사 및 공개를 장려하는 것이 포함됩니다. 이 정책은 취약점 찾기 및 보고의 측면에서의 선의를 정의하며 그에 대한 보상으로 당사에게 기대할 수 있는 것을 설명합니다.
기대
이 정책에 따라 당사와 협력할 때 귀하는 당사로부터:
이 정책에 관련된 취약점 조에 대한 세이프 하버 확장을 기대할 수 있습니다;
적시에 해당 제출에 대한 초기 답변을 하는 것을 포함하여 귀하의 보고서를 이해 및 승인하기 위한 협업을 기대할 수 있습니다;
발견된 취약점을 적시에 해결하기 위한 노력을 기대할 수 있습니다; 그리고
고유한 취약점을 처음 보고했으며 해당 보고서로 인해 코드 또는 구성의 변경이 생길 경우, 당사의 보안 향상에 대한 귀하의 기여 인정을 기대할 수 있습니다.
기본 규칙
취약점 조사를 장려하고 선의의 해킹과 악성 공격 간의 혼동을 피하기 위해 당사는 귀하에게 다음을 요청합니다.
규칙에 따를 것. 여기에는 이 정책 및 모든 기타 관련 계약을 따르는 것이 포함됩니다. 이 정책과 다른 관련 약관 간의 불일치가 있는 경우, 이 정책의 약관이 우선시됩니다.
발견한 취약점을 즉시 보고할 것.
타인의 프라이버시를 침해하거나 당사의 시스템을 방해하거나 데이터를 파괴하거나 사용자 경험을 해치지 말 것.
당사와 취약점 정보를 논의하기 위해 공식 채널만 이용할 것.
발견된 취약점이 공개 정책에 따라 수정될 때까지 그 세부 정보를 기밀로 유지할 것.
적용 범위 시스템 내에서만 테스트를 수행하고 적용 범위를 벗어난 시스템과 활동을 존중할 것.
취약점이 데이터에 대한 의도하지 않은 액세스를 제공하는 경우:
개념 증명을 효과적으로 시연하는 데 필요한 최소 데이터 양으로 데이터 양을 제한할 것; 그리고
개인 식별 정보(PII), 개인 건강 관리 정보(PHI), 신용 카드 정보 또는 독점적 정보와 같은 사용자 데이터를 발견할 경우 테스트를 중단하고 즉시 보고서를 제출할 것;
본인 소유의 계정 또는 계정 소유자의 명시적인 허가를 받은 계정으로만 테스트할 것.
취에 가담하지 말 것.
세이프 하버 계약
이 정책에 따라 취약성 조사를 시행할 때, 당사는 이 조사가 다음을 위해 이 정책 하에 시행되었다고 여깁니다:
적용 가능한 모든 해킹 방지법의 관점에서 승인을 얻기 위해, 당사는 우발적이나 선의로 이 정책을 위반하는 경우 귀하에 대한 법률 소송을 시작하지 않을 것입니다.
관련 우회 방지법의 관점에서 승인을 얻기 위해, 당사는 기술 통제의 우회에 대해 귀하에 대해 소송을 제기하지 않을 것입니다;
보안 조사 수행을 방해할 수 있는 당사의 이용 정책의 제한에서 면제되기 위해, 당사는 제한적으로 이러한 제한을 면제합니다; 그리고
합법적이고 인터넷의 전반적 보안에 도움이 되며 선의로 시행되기 위해.
항상 적용 가능한 모든 법률을 준수해야 합니다. 제3자가 귀하에 대해 법률 소송을 제기하는 경우, 당사는 귀하의 활동이 이 정책을 준수하여 시행되었음을 알리기 위한 조치를 취할 것입니다. 귀하의 보안 조사가 이 정책과 일치하는지의 여부가 확실하지 않거나 우려되는 경우, 더 진행하기 전에 당사의 공식 채널 중 하나를 통해 보고서를 제출하시기 바랍니다.
일회성 10만 달러 보너스 포상금
당사는 서버의 보안 상태를 극적으로 향상시키는 TrustedServer라는 시스템을 통해 VPN 서버를 안전하고 탄력적으로 설계했습니다. 저희는 이 분야에 대한 자부심을 갖고 있으며 VPN 서버가 당사의 보안 기대 수준을 충족하는 데 목표를 두고 있습니다.
따라서 당사는 연구원들에게 VPN 서버 내에서 발생하는 다음과 같은 유형의 보안 문제에 대한 테스트에 집중하도록 요구합니다.
VPN 서버로의 승인되지 않은 액세스 또는 원격 코드 실행
고객의 실제 IP 주소 유출을 초래하는 VPN 서버 내 취약점 또는 사용자 트래픽을 모니터링할 수 있는 가능성
이 포상금을 청구할 자격을 얻으려면, 버그가 사용자의 개인 정보 보호에 영향을 미친다는 증거를 제시해야 합니다. 이를 위해서는 승인되지 않은 액세스, 원격 코드 실행, IP 주소 유출, 또는 암호화되지 않은(VPN 암호화되지 않은) 사용자 트래픽을 모니터링할 수 있는 가능성을 입증할 수 있어야 합니다.
이 프로그램을 더욱 매력적으로 만들기 위해 다음과 같은 보너스를 도입합니다. 유효한 취약점을 가장 먼저 보고한 분께는 미화 10만 달러의 보너스 보상금이 추가로 지급됩니다. 이 보너스는 상금을 요청할 때까지 유효합니다.
범위
당사는 사용자에게 제공하는 모든 프로토콜을 위한 플랫폼으로 TrustedServer를 사용하므로 모든 VPN 서버가 범위 안에 포함됩니다.
고객님의 활동이 항상 프로그램의 범위 안에 들어가야 합니다. 예를 들어, ExpressVPN에서 소유, 호스팅 및 운영하는 데이터 센터 서비스용 관리 패널은 범위를 벗어납니다. 고객님의 테스팅이 범위 내에 해당되는지 여부가 확실하지 않은 경우, 우선 support@bugcrowd.com으로 문의하여 확인해주세요. 범위를 벗어난 테스팅을 하고 있는 것으로 밝혀진 참여자는 포상금 지급 대상이 아니며, 당사는 해당 개인을 프로그램에서 즉시 제명할 수 있습니다.
제외 대상
저희는 이 프로그램 공평한 경쟁의 장으로 만들기 위해 노력합니다. 따라서 다음과 같은 개인은 처음 발견한 중대한 보안 문제에 대해 보너스를 청구할 수 없습니다.
ExpressVPN 또는 기타 Kape Technologies 자회사의 정규직 또는 파트타임 직원, 친구 및 가족 포함
contractors, consultants, representatives, suppliers, vendors, or any other persons related to or otherwise affiliated with ExpressVPN 계약 업체, 컨설턴트, 대표, 공급 업체, 벤더, 또는 그 외 ExpressVPN과 관련이 있거나 제휴 관계에 있는 개인
보고서 제출 방법
리서처는 Bugcrowd를 통해 보고서를 제출할 수 있습니다. 아니면, security@expressvpn.com으로 이메일을 통해 제출할 수도 있습니다.
알려드립니다: ExpressVPN은 모든 버그 바운티 프로그램을 관리하기 위해 Bugcrowd를 사용합니다. 이메일을 통해 보고서를 제출하면 귀하께서 Bugcrowd 회원이 아니시더라도 귀의 이메일 주소와 콘텐츠를 분류의 목적으로 Bugcrowd와 공유하게 됩니다.