ExpressVPNのバグバウンティプログラム

ExpressVPNは、何千ものVPNサーバーを運営し、ルーターやブラウザ拡張機能だけでなく、すべての主要なオペレーティングシステム用のクロスプラットフォームVPNアプリケーションを作成しています。

ExpressVPNは、アプリケーションとサービスのセキュリティを真剣に考えています。弊社は何年にも渡って社内のバグバウンティプログラムを提供し、セキュリティ研究員に数万ドルを授与してきました。弊社は優れたエンジニアリングを重視し、製品やサービスのセキュリティを向上させる方法を常に探しています。

バグバウンティプログラムで報酬を得ることができます。

対象情報

スコープ

下記の製品とサービスが対象です。

  • VPNサーバー

  • ExpressVPN iOSアプリケーション

  • ExpressVPN Androidアプリケーション

  • ExpressVPN Linuxアプリケーション

  • ExpressVPN macOSアプリケーション

  • ExpressVPN Windowsアプリケーション

  • ExpressVPN ルーターアプリケーション

  • ExpressVPN Firefox拡張機能

  • ExpressVPN Chrome拡張機能

  • MediaStreamer DNSサーバー

  • ExpressVPN API

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • Apple App Store (886492891)

  • Google Play (com.expressvpn.vpn)

上記のアセットに加え、下記も対象です。

  • 社員メール、社内チャットメッセージ、ソースコードホスティングなどの社内システム

  • 社員のプライバシーを侵害する脆弱性

フォーカス

特に以下のことに関心を持っています。

  • 弊社のクライアントアプリケーションにおける脆弱性。特に権限昇格につながる脆弱性

  • 種類を問わない弊社VPNサーバーへの不正アクセス

  • 弊社のユーザーデータを権限のない人に晒す脆弱性

  • 弊社のVPN製品を使用してユーザーのトラフィックを晒すという方法で、弊社のVPN通信を弱体化、破壊、その他の方法で弊社のVPN通信を腐敗する脆弱性

加えて、上記のリストにないExpressVPNによって所有または運営されている一般的にアクセス可能なホストは、ケースバイケースで範囲内と見なされる可能性があります。

すべてのExpressVPNプロパティも含まれると考えることができます。しかし、特定のテスト方法は除外されます。具体的には、DoSやスパムなどのサービスの質を低下させるテストは対象外です。

弊社アプリケーションの一般ベータ版も対象です。ベータテスターページ経由で入手できます。

範囲外

  • アプリケーションのアルファ版

  • ソーシャルエンジニアリング(例:フィッシング)

  • オフィス、サーバー、従業員の物理的なセキュリティ

  • 第三者機関のソフトウェア(設定ミスやパッチレベルによる脆弱性がある場合を除く

セーフハーバー

弊社は、disclose.iocore-terms-GLOBALに従って、完全なセーフハーバーを提供しています。

セキュリティは弊社の価値観の核心であり、弊社は、ユーザーのためのセキュリティとプライバシーの高い基準を維持するために、誠実に行動するハッカーの意見を尊重しています。これには、責任ある脆弱性の調査と開示を奨励することも含まれます。このポリシーでは、脆弱性の発見と報告に関する弊社の誠意の定義と、ユーザーが弊社に何を期待できるかについて説明します。

期待できること

このポリシーに基づいて弊社と協力して作業を行う際には、弊社から以下のことを期待することができます。

  • 本ポリシーに関連する脆弱性調査にセーフハーバーを拡大すること

  • 提出された報告書に対するタイムリーな初期対応を含め、報告書を理解し、検証するための協力

  • 発見された脆弱性を適時に修正するための作業

  • 固有の脆弱性を最初に報告していただき、その報告がコードや設定の変更のきっかけとなった場合、弊社のセキュリティ向上への貢献を認めること

基本的なルール

脆弱性調査を奨励し、善意のハッキングと悪意の攻撃が混同されないよう、以下のようにお願いします。

  • ルールに従ってください。これには、本ポリシーおよびその他の関連する契約に従うことが含まれます。本ポリシーと他の関連する規約との間に矛盾がある場合は、本ポリシーの規約が優先されます

  • 発見した脆弱性を速やかに報告してください

  • 他人のプライバシーを侵害したり、弊社のシステムを混乱させたり、データを破壊したり、ユーザー体験を損なうような行為は避けてください

  • 脆弱性に関する情報を弊社と議論する際には、公式チャンネルのみを使用してください

  • 発見された脆弱性の詳細については、開示方針に従い、修正されるまで秘密にしてください

  • 範囲内のシステムのみを対象にテストを実施し、範囲外のシステムや活動を尊重してください

  • 脆弱性によりデータへの意図しないアクセスが発生した場合は、

    • アクセスするデータ量を、概念実証を効果的に実証するために必要な最小限に制限してください

    • テスト中に個人を特定できる情報(PII)、個人医療情報(PHI)、クレジットカード情報、または専有情報などのユーザーデータに遭遇した場合は、テストを中止し、直ちに報告書を提出してください

  • ご自身が所有しているテストアカウント、またはアカウント所有者の明示的な許可を得ているテストアカウントでのみやりとりする必要があります

  • 恐喝行為をしてはいけません

セーフハーバー契約

本ポリシーに基づいて脆弱性調査を行う場合、弊社は、本ポリシーに基づいて行われる本調査を以下のように考えます。

  • 適用されるハッキング防止法に照らして認可されており、弊社は、本ポリシーの偶発的な善意の違反に対して、ご参加者対して法的措置を開始したり、支援することはありません

  • 関連する不正行為防止法の観点から承認されており、弊社は、技術管理の不正行為を理由に研究員に対してクレームを提起しません

  • セキュリティ調査の実施を妨げるような弊社の利用規定の制限は免除されており、弊社は限定的にこれらの制限を放棄しています

  • 合法的に、インターネットの全体的なセキュリティに役立ち、誠意を持って行われていること

研究員には、適用されるすべての法律を常に遵守することが期待されています。第三者が研究員に対して法的措置を開始した場合、研究員が本ポリシーを遵守していた場合には、弊社は研究員の行動が本ポリシーを遵守して実施されたことを周知させるための措置を講じます。

セキュリティ調査が本ポリシーに準拠しているかどうか、懸念がある場合や不明な点がある場合は、先に進む前に、弊社の公式チャンネルのいずれかを通じて報告書を提出してください。

一回限りの報奨金10万米ドルボーナス

私たちは、TrustedServerと呼ばれるシステムによって、VPNサーバーを安全かつレジリエントに設計し、サーバーのセキュリティ体制を劇的に向上させました。私たちはこの分野での仕事に自信を持っており、弊社のVPNサーバーが期待通りのセキュリティ水準に達することを目標としています。

そのため、VPNサーバーにおける以下のようなセキュリティ上の問題点を重点的にテストするために、研究員を招いています。

  • 権限のないVPNサーバーへのアクセスやリモートコード実行

  • 弊社のVPNサーバーの脆弱性により、クライアントの実際のIPアドレスが漏洩したり、ユーザーのトラフィックの監視につながること

この賞金を請求するためには、弊社のユーザーのプライバシーへの影響を証明する必要があります。これは、不正アクセス、リモートコードの実行、IPアドレスの漏洩、または暗号化されていない(VPNで暗号化されていない)ユーザートラフィックの監視が可能であることを証明する必要があります。

この挑戦をより魅力的なものにするために、以下のボーナスを導入します。有効な脆弱性を最初に提出した人には、さらに10万米ドルのボーナスバウンティが贈られます。このボーナスは賞金が請求されるまで有効です。

スコープ

弊社では、TrustedServerをユーザーに提供しているすべてのプロトコルのプラットフォームとして使用しています。そのため、すべての弊社のVPNサーバーが対象範囲です。

ご自身の活動がプログラムのスコープ内であることをご確認ください。例えば、弊社が利用するデータセンターサービスの管理パネルは、ExpressVPNが所有、ホスト、および運営するものではないため、スコープの範囲外です。行っているテストがスコープ内か判断できない場合には、先ずsupport@bugcrowd.comにお問い合わせください。範囲外のテストを行ったことが判明した研究員は、報酬の対象外となり、弊社はその個人をプログラムから直ちに排除する権利を有します。

除外項目

私たちは、チャレンジが公平な競争の場で行われるように努めています。従って、以下の方は第一の重大事項発見者としてボーナスを請求することはできません。

  • ExpressVPNまたはKape Technologiesの他の子会社の正社員またはパートタイム社員、およびその友人と家族

  • ExpressVPNの請負業者、コンサルタント、代表者、サプライヤ、ベンダー、またはその他の関係、または協力する人物

レポートの提出方法

調査者はBugcrowdを通じてレポートを提出してください。または、security@expressvpn.com宛にメールでの提出も受け付けています。

注意:ExpressVPNは、すべてのバグバウンティプログラムを管理するためにBugcrowdを使用しています。メールで送信するということは、たとえあなたがプラットフォームのメンバーでなくても、トリアージの目的であなたのメールアドレスを共有し、Bugcrowdとコンテンツを共有することを意味します。

バグバウンティプログラムで誰が報奨金を受けたかをご確認ください。