ExpressVPN ha anunciado recientemente el lanzamiento de su programa Bug bounty. Esta iniciativa invita a investigadores de seguridad y hackers éticos a identificar y notificar posibles vulnerabilidades en sus sistemas a cambio de recompensas económicas. La iniciativa subraya el compromiso de la empresa de mantener un servicio seguro para sus usuarios, al tiempo que reconoce la importancia de la colaboración con la comunidad de ciberseguridad.
Más información: ¿Cuáles son los distintos tipos de piratas informáticos?
Amplio alcance
El programa Vulnerability Hunt cubre una amplia gama de productos y servicios de ExpressVPN, entre los que se incluyen:
- Servidores VPN
- Aplicaciones de ExpressVPN para iOS, Android, Linux, macOS, Windows y routers
- Extensiones para navegadores Firefox y Chrome
- Servidores DNS MediaStreamer
- API de ExpressVPN
- El sitio web expressvpn.com y sus subdominios
- Sistemas internos de la empresa, incluyendo emails internos y mensajes de chat
Es muy raro que un proveedor de VPN aplique una recompensa por fallos tan amplia. Suele aplicarse principalmente a aplicaciones y servidores.
Seguridad
ExpressVPN pone especial énfasis en las vulnerabilidades que pueden :
- Permitir que se eleven los privilegios del usuario
- Proporcionar acceso no autorizado a sus servidores VPN
- Exponer los datos del usuario a terceros no autorizados
- Comprometer, interrumpir o eludir las comunicaciones VPN
Recompensa excepcional de 100.000 dólares
Se está prestando especial atención a las vulnerabilidades que afectan a los servidores VPN, con una bonificación única de 100.000 dólares ofrecida por descubrir problemas de seguridad críticos como el acceso no autorizado a un servidor VPN, la ejecución remota de código, la filtración de las direcciones IP de los usuarios o la monitorización del tráfico de Internet de los usuarios.
ExpressVPN afirma que confía en este aspecto, gracias en particular a su arquitectura TrustedServer.
Normas y proceso
Se invita a los investigadores a enviar sus hallazgos a través de Bugcrowd o por email a security@expressvpn.com, y ExpressVPN se compromete a trabajar estrechamente con los investigadores para validar y corregir rápidamente las vulnerabilidades notificadas.
El programa establece expectativas claras para los investigadores, como respetar la privacidad, abstenerse de perturbar los sistemas o la experiencia del usuario y mantener la confidencialidad de la información hasta que se aplique una solución.
Exclusiones y limitaciones
Ciertas actividades están explícitamente excluidas del ámbito de aplicación, como la ingeniería social, la seguridad del hardware y el software de terceros no afectado por la configuración incorrecta de ExpressVPN.
Además, los empleados de ExpressVPN y sus familiares, así como los contratistas y consultores afiliados a la empresa, no pueden optar a la bonificación.
Conclusión
El programa de bug bounty de ExpressVPN es una buena iniciativa. Al ofrecer recompensas sustanciales y definir claramente su alcance y expectativas, ExpressVPN está incentivando activamente a la comunidad de ciberseguridad para que ayude a detectar y corregir vulnerabilidades, afirmando su compromiso con la seguridad y la confianza de los usuarios. No es el único proveedor de VPN que lanza este tipo de programa de recompensas.