A ExpressVPN, um dos serviços de VPN pagos mais utilizados do mundo, atualizou sua política de caçar bugs e vulnerabilidades em seus aplicativos e servidores. Uma das atualizações ao programa de caçadores de recompensas oferece prêmio de US$ 100 mil, cerca de R$ 523 mil em conversão direta, para primeira pessoa que conseguir hackear seus servidores.
Por mais que pareça um desafio apenas para atestar a segurança da plataforma TrustedServer, a prática é comum em empresas de segurança de dados. Geralmente, isso motiva a comunidade a encontrar e documentar possíveis falhas antes que elas sejam exploradas por usuários mal intencionados.
Programa de recompensa
Para resgatar a recompensa existem algumas regras importantes. O valor será pago apenas uma vez para o primeiro usuário que encontrar e reportar ao menos uma falha como acesso remoto ao servidor da VPN, execução remota de código no servidor, ou vulnerabilidades que revelem IPs reais ou monitorem o tráfego de dados de usuários.
Serviço oferece servidores rápidos e seguros em 94 países, inclusive no BrasilFonte: ExpressVPN
A vulnerabilidade precisa estar ligada diretamente aos servidores da ExpressVPN, mais especificamente no TrustedServer. Usuários em dúvida se seus testes estão relacionados ao SO podem entrar em contato com o suporte da Bugcrowd no endereço support@bugcrowd.com.
Distribuição Linux com foco em segurança
O TrustedServer possui uma distribuição Linux baseada em Debian com ferramentas de segurança personalizadas e proprietárias. Isso faz dele um sistema ideal para infraestrutura de segurança de dados e VPN.
Além das ferramentas do sistema, os servidores operam em nível de RAM e semanalmente o SO recebe patches e é reinstalado do zero. Essas e outras medidas são tão eficientes que o programa de caçar vulnerabilidades já está ativo faz seis anos.
NEW: ExpressVPN is raising its bug bounty reward to *$100,000* for anyone who can find a vulnerability in its VPN servers.
— ExpressVPN (@expressvpn) February 8, 2022
Read our blog post for more information on the reward and how you can get involved via @BugCrowd. #bugbounty #TrustedServer https://t.co/4o1Aanrj0r
Como até agora ninguém conseguiu resgatar a recompensa, a ExpressVPN decidiu elevar o prêmio em dez vezes comparado ao último valor, para incentivar mais usuários a tentarem quebrar a segurança de seus servidores.
Fontes