A ExpressVPN anunciou recentemente o lançamento de seu programa Bug bounty. Essa iniciativa convida pesquisadores de segurança e hackers éticos a identificar e relatar possíveis vulnerabilidades em seus sistemas em troca de recompensas financeiras. A iniciativa ressalta o compromisso da empresa em manter um serviço seguro para seus usuários, ao mesmo tempo em que reconhece a importância da colaboração com a comunidade de segurança cibernética.

Escopo amplo

O programa Vulnerability Hunt abrange uma ampla gama de produtos e serviços da ExpressVPN, incluindo:

  • Servidores VPN
  • Aplicativos ExpressVPN para iOS, Android, Linux, macOS, Windows e roteadores
  • Extensões dos navegadores Firefox e Chrome
  • Servidores DNS do MediaStreamer
  • APIs da ExpressVPN
  • O site expressvpn.com e seus subdomínios
  • Sistemas internos da empresa, incluindo e-mails internos e mensagens de bate-papo

É muito raro que um provedor de VPN implemente um Bug bounty tão extenso. Normalmente, ela se aplica principalmente a aplicativos e servidores.

Foco na segurança

A ExpressVPN dá ênfase especial às vulnerabilidades que podem :

  • Permitir a elevação dos privilégios do usuário
  • Fornecer acesso não autorizado a seus servidores VPN
  • Expor os dados do usuário a terceiros não autorizados
  • Comprometer, interromper ou contornar as comunicações da VPN

Recompensa excepcional de US$ 100.000

Atenção especial está sendo dada às vulnerabilidades que afetam os servidores VPN, com um bônus único de US$ 100.000 oferecido pela descoberta de problemas críticos de segurança, como acesso não autorizado a um servidor VPN, execução remota de código, vazamento de endereços IP dos usuários ou monitoramento do tráfego de Internet dos usuários.
A ExpressVPN diz que está confiante a esse respeito, graças, em particular, à sua arquitetura TrustedServer.

Regras e processo

Os pesquisadores são convidados a enviar suas descobertas por meio do Bugcrowd ou por e-mail para security@expressvpn.com, com o compromisso da ExpressVPN de trabalhar em estreita colaboração com os pesquisadores para validar e corrigir rapidamente as vulnerabilidades relatadas.
O programa estabelece expectativas claras para os pesquisadores, incluindo o respeito à privacidade, a abstenção de perturbar os sistemas ou a experiência do usuário e a manutenção da confidencialidade das informações até que uma correção seja aplicada.

Exclusões e limitações

Certas atividades são explicitamente excluídas do escopo, como engenharia social, segurança de hardware e software de terceiros não afetados pela configuração incorreta da ExpressVPN.

Além disso, os funcionários da ExpressVPN e seus parentes, bem como os contratados e consultores afiliados à empresa, não são elegíveis para o bônus.

Conclusão

O programa de caça a bugs da ExpressVPN é uma boa iniciativa. Ao oferecer recompensas substanciais e definir claramente seu escopo e expectativas, a ExpressVPN está incentivando ativamente a comunidade de segurança cibernética a ajudar a detectar e corrigir vulnerabilidades, afirmando seu compromisso com a segurança e a confiança do usuário. Ela não é o único provedor de VPN a lançar esse tipo de programa de recompensa.

Lucas Ribeiro Almeida

Expert em VPN e segurança digital, revelando os segredos das redes privadas virtuais para uma navegação segura e privada.