ExpressVPN ha anunciado recientemente el lanzamiento de su programa Bug bounty. Esta iniciativa invita a investigadores de seguridad y hackers éticos a identificar y notificar posibles vulnerabilidades en sus sistemas a cambio de recompensas económicas. La iniciativa subraya el compromiso de la empresa de mantener un servicio seguro para sus usuarios, al tiempo que reconoce la importancia de la colaboración con la comunidad de ciberseguridad.

Amplio alcance

El programa Vulnerability Hunt cubre una amplia gama de productos y servicios de ExpressVPN, entre los que se incluyen:

  • Servidores VPN
  • Aplicaciones de ExpressVPN para iOS, Android, Linux, macOS, Windows y routers
  • Extensiones para navegadores Firefox y Chrome
  • Servidores DNS MediaStreamer
  • API de ExpressVPN
  • El sitio web expressvpn.com y sus subdominios
  • Sistemas internos de la empresa, incluyendo emails internos y mensajes de chat

Es muy raro que un proveedor de VPN aplique una recompensa por fallos tan amplia. Suele aplicarse principalmente a aplicaciones y servidores.

Seguridad

ExpressVPN pone especial énfasis en las vulnerabilidades que pueden :

  • Permitir que se eleven los privilegios del usuario
  • Proporcionar acceso no autorizado a sus servidores VPN
  • Exponer los datos del usuario a terceros no autorizados
  • Comprometer, interrumpir o eludir las comunicaciones VPN

Recompensa excepcional de 100.000 dólares

Se está prestando especial atención a las vulnerabilidades que afectan a los servidores VPN, con una bonificación única de 100.000 dólares ofrecida por descubrir problemas de seguridad críticos como el acceso no autorizado a un servidor VPN, la ejecución remota de código, la filtración de las direcciones IP de los usuarios o la monitorización del tráfico de Internet de los usuarios.
ExpressVPN afirma que confía en este aspecto, gracias en particular a su arquitectura TrustedServer.

Normas y proceso

Se invita a los investigadores a enviar sus hallazgos a través de Bugcrowd o por email a security@expressvpn.com, y ExpressVPN se compromete a trabajar estrechamente con los investigadores para validar y corregir rápidamente las vulnerabilidades notificadas.
El programa establece expectativas claras para los investigadores, como respetar la privacidad, abstenerse de perturbar los sistemas o la experiencia del usuario y mantener la confidencialidad de la información hasta que se aplique una solución.

Exclusiones y limitaciones

Ciertas actividades están explícitamente excluidas del ámbito de aplicación, como la ingeniería social, la seguridad del hardware y el software de terceros no afectado por la configuración incorrecta de ExpressVPN.

Además, los empleados de ExpressVPN y sus familiares, así como los contratistas y consultores afiliados a la empresa, no pueden optar a la bonificación.

Conclusión

El programa de bug bounty de ExpressVPN es una buena iniciativa. Al ofrecer recompensas sustanciales y definir claramente su alcance y expectativas, ExpressVPN está incentivando activamente a la comunidad de ciberseguridad para que ayude a detectar y corregir vulnerabilidades, afirmando su compromiso con la seguridad y la confianza de los usuarios. No es el único proveedor de VPN que lanza este tipo de programa de recompensas.

Daniel Morales
Daniel Morales

Joven experto en tecnología, dedicado a desmitificar los VPN y a reforzar la seguridad de los datos para una era digital más segura.