ExpressVPN、最初にサーバーをハックした人に10万ドルを提供

news

ExpressVPNは、バグバウンティプログラムを更新し、同社のシステムを危険にさらすことができた人に1回限りの10万ドル(1200万円)のバグバウンティを提供すると発表しました。

ExpressVPN’s Bug Bounty Program | ExpressVPN
Learn about ExpressVPN’s in-house bug-bounty program and how you can receive cash rewards for finding security flaws.

ExpressVPNは、最も広く利用されているVPN(仮想プライベートネットワーク)製品のひとつで、ユーザーにウェブ閲覧のプライバシーと、地域制限を回避する機能を提供しています。

このプライバシーは、ユーザーのインターネット・トラフィックを暗号化トンネルに通すことで実現され、ユーザーの実際のIPアドレスはVPNサービスが提供するものに隠されます。

この種のシステムのセキュリティを損なうことは、これらの製品の最も重要なセールスポイントのひとつであるユーザーのプライバシーを損なうことになります。

ExpressVPNがバグバウンティプログラムを提供しているのはこのためで、セキュリティ監査人や研究者が同社のインフラやソフトウェアの脆弱性を報告し、金銭的なバグバウンティ報酬を受け取ることができます。

重大なバグに対して新たに0,000の報奨金を支給

ExpressVPNは、自社技術であるTrustedServerの重大な脆弱性に対して、新たに100,000ドルのバグ報奨金を提供することを発表しました。

これは、Bugcrowdプラットフォームで提供されている単一の報奨金としては最高額であり、ExpressVPNが以前に提供した最高額の報奨金の10倍に相当します

この新しい10万ドルの一回限りの報奨金は、以下の条件で提供されます。

  • 不正アクセスや顧客データの流出を引き起こす有効な脆弱性を最初に提出した人が、10万米ドルの報奨金を受け取ることができます。この1回限りの報奨金は、賞品の請求が行われるまで有効です。
  • 1回限りのUS$100,000の報奨金は、ExpressVPNのVPNサーバーの脆弱性のみが対象となります。
  • 活動は、TrustedServerプラットフォームの範囲内に留める必要があります。あなたのテストが範囲内とみなされるかどうか不明な場合は、まず support@bugcrowd.com に連絡して確認してください。

ExpressVPN はまた、クライアントの実際の IP アドレスをリークしたり、ユーザーのトラフィックを監視したりするための可能な方法を発見してくれるセキュリティ研究者を募集しています。

このバグバウンティプログラムはBugCrowdによって運営されており、プログラムの一環としてExpressVPNのサーバーに侵入しようとする研究者にはセーフハーバーが提供されます。

ハックするには苦労すると思われる理由

TrustedServerは、Debian Linuxをベースにしたカスタムメイドのオペレーティングシステムで、VPNインフラストラクチャでの使用に最適な独自のセキュリティ強化が施されています。

ExpressVPNでは、サーバーをRAMオンリーにして、再起動時にデータを定期的に消去するシステムを採用しています。

また、インサイダーによるコード改ざんイベントを防止するためのビルド検証が行われており、すべてのExpressVPNサーバーにクリーンインストールされた状態で、毎週パッチが適用されています。

特に、バグバウンティプログラムが過去6年間にわたって提供されており、それゆえに支払い額が上昇していることから、活用できるバグを見つけるのは難しいと思われます。

自分のハッキング能力に自信があり、上記のチャレンジに興味がある方は、こちらからプログラムに参加してみてはいかがでしょうか。

Comments

タイトルとURLをコピーしました