El programa de Bug Bounty de ExpressVPN

ExpressVPN opera miles de servidores VPN y crea aplicaciones VPN multiplataforma para los principales sistemas operativos, así como para routers y extensiones de navegador.

ExpressVPN se toma muy en serio la seguridad de sus aplicaciones y servicios. Hemos ofrecido un programa interno de "bug bounty" desde hace años y hemos otorgado decenas de miles de dólares en premios a investigadores de seguridad. Le damos mucho valor a la buena ingeniería y siempre estamos buscando maneras de mejorar la seguridad de nuestros productos y servicios.

Obtenga recompensas con nuestro programa de recompensas por errores.

Información objetivo

Ámbito

Los siguientes productos y servicios caen dentro del ámbito:

  • Servidores de VPN

  • Aplicación de ExpressVPN para iOS

  • Aplicación de ExpressVPN para Android

  • Aplicación de ExpressVPN para Linux

  • Aplicación de ExpressVPN para macOS

  • Aplicación de ExpressVPN para Windows

  • Aplicación de ExpressVPN para routers

  • Extensión de ExpressVPN para Firefox

  • Extensión de ExpressVPN para Chrome

  • Servidores DNS de MediaStreamer

  • API de ExpressVPN

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

Lo siguiente también cae dentro del ámbito:

  • Sistemas internos, por ejemplo, correos electrónicos de los empleados, mensajes de chat internos, hosting de código fuente.

  • Cualquier vulnerabilidad que ponga en riesgo la privacidad de nuestros empleados.

Enfoque

Estamos particularmente interesados en:

  • Vulnerabilidades en nuestras aplicaciones de cara al cliente, especialmente vulnerabilidades que lleven a un incremento de privilegios.

  • Cualquier tipo de acceso no autorizado a nuestros servidores de VPN.

  • Vulnerabilidades que expongan los datos de nuestros clientes a personas no autorizadas.

  • Vulnerabilidades que debiliten, rompan o subviertan nuestras comunicaciones de VPN de tal manera que quede expuesto el tráfico de cualquier persona que use nuestros productos de VPN.

Adicionalmente, cualquier host públicamente accesible que sea propiedad o sea operado por ExpressVPN y que no aparezca en la lista anterior podrá considerarse dentro del ámbito en casos específicos.

Todas las propiedades de ExpressVPN pueden considerarse incluidas. Sin embargo, ciertos métodos de prueba se excluyen. Específicamente pruebas que degraden la calidad del servicio, como DoS o spam, no se considerarán incluidas.

Las versiones beta públicas de nuestras aplicaciones también se encuentran incluidas. Usted puede obtenerlas en nuestra página para usuarios beta.

Fuera del ámbito

  • Versiones alfa de nuestras aplicaciones.

  • Ingeniería social (por ejemplo, phishing).

  • Seguridad física de nuestras oficinas, servidores y empleados.

  • Software de terceros (excepto en casos donde exista una vulnerabilidad explotable debido a una mala configuración o nivel de parche).

Puerto seguro

Ofrecemos puerto seguro según los lineamientos de disclose.io core-terms-GLOBAL

La seguridad es uno de nuestros principales valores y apreciamos mucho los aportes de los hackers que actúan de buena fe para ayudarnos a mantener unos altos estándares de seguridad y privacidad para nuestros usuarios. Esto incluye fomentar unas investigaciones y divulgación responsables de vulnerabilidades. Esta política establece nuestra definición de buena fe en el contexto de hallar y reportar vulnerabilidades, así como de lo que se puede esperar de nosotros a cambio.

Expectativas

Al trabajar con nosotros en base a esta política, usted puede esperar que nosotros:

  • Ofrezcamos puerto seguro a su investigación de vulnerabilidad relacionada con esta política

  • Trabajemos con usted para comprender y validar su informe, incluyendo una respuesta inicial oportuna a su envío.

  • Trabajemos para remediar vulnerabilidades descubiertas de manera oportuna, y

  • Otorguemos reconocimiento a su contribución con nuestra seguridad si usted es el primero en reportar una vulnerabilidad única y si reporte genera un cambio en el código o en la configuración

Reglas básicas

Para fomentar las investigaciones de vulnerabilidades y para evitar cualquier confusión entre hackeos de buena fe y ataques malintencionados, le solicitamos lo siguiente.

  • Cumpla con las reglas. Esto incluye seguir lo establecido en esta política, así como cualquier otro acuerdo relevante. Si hubiese cualquier inconsistencia entre esta política y otros términos relevantes, los términos de esta política prevalecerán

  • Reporte cualquier vulnerabilidad que haya descubierto de manera oportuna

  • Evite vulnerar la privacidad de los demás, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario

  • Use solamente los canales oficiales para discutir con nosotros información acerca de las vulnerabilidades

  • Mantenga la confidencialidad de cualesquiera vulnerabilidades que haya descubierto hasta que se hayan reparado, según la política de divulgación

  • Ejecute pruebas solamente en sistemas pertinentes y respete los sistemas y actividades que no sean pertinentes

  • En caso de que una vulnerabilidad le brinde acceso a los datos:

    • Limite la cantidad de datos a los que acceda al mínimo requerido para garantizar la efectividad

    • Cese de realizar pruebas y envíe inmediatamente un informe si encuentra cualquier dato perteneciente a los usuarios durante las pruebas, como información personal identificable (IPI), información personal médica (IPM), información de tarjetas de crédito o información confidencial

  • Solo debe interactuar con las cuentas de prueba que sean de su propiedad o con autorización explícita del propietario

  • No perpetrar extorsión

Acuerdo de puerto seguro

Al realizar estudios de vulnerabilidad según esta política, consideraremos que la investigación realizada bajo esta política estará:

  • Autorizada en vista de cualquier ley anti hackeo aplicable, por lo que no iniciaremos ni apoyaremos acciones legales contra usted por violaciones accidentales y en buena fe de esta política

  • Autorizada en vista de cualquier ley contra evasión, por lo que no entablaremos querellas contra usted por evadir los controles tecnológicos

  • Exenta de restricciones en nuestra Política de Uso Aceptable que interfiera con la realización de las investigaciones de seguridad, y renunciamos a dichas restricciones de manera limitada, y

  • Será legal, en beneficio de la seguridad de internet en general y llevada a cabo de buena fe.

Como siempre, de usted se espera un fiel cumplimiento de todas las leyes aplicables. En caso de que un tercero emprendiese acciones legales contra usted y usted ha cumplido con esta política, tomaremos acciones para hacer saber que sus acciones se realizaron de conformidad con esta política.

Si en cualquier momento le surgen preocupaciones o inquietudes acerca de si su investigación es acorde con esta política, envíe un informe mediante uno de nuestros canales oficiales antes de proseguir.

Incentivo único de 100.000 USD

Hemos diseñado nuestros servidores VPN para que sean seguros y resistentes mediante un sistema llamado TrustedServer, que mejora radicalmente las condiciones de seguridad de nuestros servidores. Tenemos una gran confianza en el trabajo que hemos realizado en esta área, y nuestro objetivo es garantizar que nuestros servidores VPN cumplan con nuestras expectativas de seguridad.


Por tanto, invitamos a nuestros investigadores a que enfoquen sus pruebas en los siguientes tipos de problemas de seguridad en nuestros servidores de VPN:

  • Acceso no autorizado a un servidor VPN o ejecución remota de código.

  • Vulnerabilidades en nuestro servidor de VPN que produzcan filtraciones de las direcciones IP reales de nuestros clientes o la capacidad de monitorear el tráfico de los usuarios.

Para poder cobrar la recompensa, la persona deberá suministrar evidencias del impacto en la privacidad de nuestros usuarios. Esto requiere de una demostración de un acceso no autorizado, ejecución remota de código, filtración de dirección IP o la capacidad de monitorear tráfico no encriptado (no encriptado por VPN) de los usuarios.


Para que este desafí­o resulte más interesante, ofrecemos el siguiente incentivo: la primera persona en enviarnos una vulnerabilidad válida recibirá una recompensa adicional de 100.000 USD. Este incentivo será válido hasta que se cobre la recompensa.

Ámbito

Usamos TrustedServer como plataforma para todos los protocolos que ofrecemos a nuestros usuarios, así­ que todos nuestros servidores VPN están incluidos en el ámbito de este incentivo.

Por favor, asegúrense de que sus actividades se encuentren dentro del ámbito del programa. Por ejemplo, los paneles de administración para servicios de centros de datos que utilizamos no están dentro del ámbito, porque no pertenecen, no están alojados y no son operados por ExpressVPN. Si no está seguro de si sus pruebas están dentro del ámbito, por favor comuní­quese antes con support@bugcrowd.com para confirmar. Aquellos investigadores que estén haciendo pruebas fuera del ámbito no serán elegibles para recompensas, y nos reservamos el derecho de eliminarlos inmediatamente del programa.

Exclusiones

Nos esforzamos por procurar que nuestros desafí­os se realicen en igualdad de condiciones para los participantes. Así­, los siguientes individuos no serán elegibles para cobrar el incentivo por el primer descubrimiento clave:

  • Empleados a tiempo completo o tiempo parcial de ExpressVPN o cualquier otra subsidiaria de Kape Technologies, así­ como sus familiares o amigos, y

  • Contratistas, consultores, representantes, proveedores o cualquier otra persona relacionada o de algún otro modo afiliada con ExpressVPN.

Cómo enviar un reporte

Los investigadores deben enviar sus informes mediante Bugcrowd. Alternativamente, aceptamos también envíos por correo a security@expressvpn.com.

Tenga en cuenta: ExpressVPN usa Bugcrowd para gestionar todos sus programas de "bug bounty". Enviar información por correo electrónico implica que compartiremos su dirección de correo electrónico y compartiremos contenidos con Bugcrowd para propósitos de triaje, incluso si usted no es miembro de la plataforma.

Entérese de quién ha sido recompensado en nuestro programa de "bug bounty".