ExpressVPN offrant à la première personne qui serve

Pour encourager plus de pirates à participer, il y a une prime de 100 000 USD proposée en plus de la récompense normale tant qu’il y a une preuve d’impact sur la vie privée de l’utilisateur. Cela nécessitera une démonstration d’un accès non autorisé, d’une exécution du code distant, d’une fuite d’adresse IP ou d’une possibilité de surveiller le trafic utilisateur non crypté (non VPN crypté). Ce bonus sera valable jusqu’à ce que le prix soit réclamé.

Sécurité News> 2022> Février> ExpressVPN offrant 100 000 $ à la première personne qui pirate ses serveurs

ExpressVPN a mis à jour son programme de primes de bogues pour le rendre plus invitant aux pirates éthiques, offrant désormais une prime de bug de 100 000 $ à quiconque peut compromettre ses systèmes.

Aujourd’hui, ExpressVPN a annoncé qu’ils offraient maintenant une prime de bogue de 100 000 $ pour les vulnérabilités critiques dans leur technologie interne, TrustServer.

La première personne à soumettre une vulnérabilité valide, accordant un accès non autorisé ou exposant les données des clients, recevra la prime de 100 000 $ US.

Le programme Bug Bounty est géré via BugCrowd, qui offre un port sécurisé aux chercheurs qui tentent de violer les serveurs d’ExpressVPN dans le cadre du programme.

ExpressVPN suit une approche RAM uniquement pour ses serveurs et utilise un système d’essuyage de données périodique qui s’active lors des redémarrages.

Le système a une vérification de construction qui empêche les événements de falsification du code d’initié et est corrigé chaque semaine avec des installations propres sur chaque serveur ExpressVPN.

ExpressVPN offrant à la première personne qui serve

ExpressVPN affirme que sa technologie TrustEdServer augmente la barre pour la confidentialité et la sécurité en ligne et pour le mettre à l’épreuve, il offre un bonus de prime de bug de 100 000 $ à la première personne à le pirater – éthiquement bien sûr.

Les serveurs d’ExpressVPN sont conçus pour être sécurisés et résilients via un système appelé TrustEdServer, qui, comme expliqué dans la vidéo, a deux fonctionnalités destinées à offrir une expérience Internet plus sécurisée. La première est qu’ils fonctionnent uniquement sur la mémoire volatile – cela garantit qu’aucune donnée ne peut persister sur le disque dur, même par accident car les serveurs fonctionnent strictement sur RAM uniquement. Deuxièmement, tous les logiciels, même le système d’exploitation, sont fraîchement exécutés à partir de la dernière image Readonly à chaque fois que le serveur est redémarré. Cela fournit de la cohérence et signifie que chacun de ses milliers de serveurs à travers le monde a le même logiciel le plus à jour lorsqu’il est alimenté.

Dans le climat actuel de problèmes de confidentialité et confiant des avantages conférés par TrusedServer, ExpressVPN invite les chercheurs en sécurité dans son programme de primes de bogue opéré via BugCrowd pour concentrer les tests sur les types de problèmes de sécurité suivants dans nos serveurs VPN:

• Accès non autorisé à un serveur VPN ou à une exécution de code distant
• Des vulnérabilités dans notre serveur VPN qui entraînent la fuite des véritables adresses IP des clients ou la possibilité de surveiller le trafic utilisateur

Pour encourager plus de pirates à participer, il y a une prime de 100 000 USD proposée en plus de la récompense normale tant qu’il y a une preuve d’impact sur la vie privée de l’utilisateur. Cela nécessitera une démonstration d’un accès non autorisé, d’une exécution du code distant, d’une fuite d’adresse IP ou d’une possibilité de surveiller le trafic utilisateur non crypté (non VPN crypté). Ce bonus sera valable jusqu’à ce que le prix soit réclamé.

Offrir un grand bonus de prime de bogue sensibilise au programme de primes de bug d’ExpressVPN qui couvre:

• Les vulnérabilités dans ses applications clients, en particulier les vulnérabilités qui conduisent à une escalade des privilèges
• Tout type d’accès non autorisé sur ses serveurs VPN
• vulnérabilités qui exposent les données des clients à des personnes non autorisées
• Les vulnérabilités qui affaiblissent, cassent ou renversent autrement les communications VPN d’une manière qui expose le trafic de toute personne utilisant ses produits VPN.

Bien que les propriétés ExpressVPN puissent être considérées comme incluses, certaines méthodologies de test sont exclues. Plus précisément, des tests qui dégradent la qualité du service, e.g., DOS ou SPAM, ne sera pas considéré pour l’inclusion.

La cyberscuité est devenue de plus en plus importante et avec tous les principaux acteurs qui opérent des régimes de primes de bug, il y a beaucoup d’argent offerte à ceux qui sont des chercheurs de sécurité qualifiés. Si ExpressVPNS TrustSedServer est aussi résilient que la société espère que les 100 000 $ pourraient être sur la table pendant un certain temps, mais comme l’entreprise a payé dans le passé des primes, il peut y avoir des choix à avoir même si ce prix n’est jamais attribué.