领先的VPN提供商ExpressVPN扩大了其漏洞赏金计划,以鼓励可能的最广泛的白帽黑客群体,以消除其产品和基础架构中的漏洞。
自2016年以来,该公司一直在执行漏洞赏金计划,向第三方研究人员奖励了数万美元,但现在在安全众包平台Bugcrowd的支持下,该计划进行了改头换面。
根据ExpressVPN 博客文章,通过Bugcrowd托管漏洞赏金计划将改善可访问性,为该项目吸引更多类型的安全人才,从而确保客户受到保护。
新外观的程序还将使内部工程师能够集中精力解决可能发现的任何错误,并通过Bugcrowd处理和评估错误报告进行分类。
Express VPN错误赏金计划
根据ExpressVPN的说法,漏洞赏金计划的扩展是出于对用户隐私的强烈承诺而做出的,这是公司产品核心的核心前提。
“我们的重点是查找允许攻击者访问客户数据,破坏加密协议或访问我们的服务器的漏洞,以及可能损害我们的系统和用户的任何错误,” ExpressVPN解释说。
“我们鼓励您在我们的应用程序,网站,服务器和所有其他ExpressVPN属性中寻找这些错误和漏洞。”
根据Bugcrowd页面的说法,ExpressVPN根据漏洞的严重程度为每个漏洞提供150美元至2500美元的奖励。自该页面启动以来,已经奖励了21个漏洞,平均支出为726.92美元,这表明大多数漏洞属于中度严重漏洞。
该公司还向安全研究人员保证了“安全港”,前提是他们的工作是真诚进行的,这相当于一个承诺,即不会对道德黑客采取法律行动。
尽管计划简介很广泛,但该公司不会为在alpha和beta版本中发现的错误支付任何费用,也不会为ExpressVPN场所中发现的社会工程学攻击或物理安全漏洞支付费用