По информации Bleeping Computer, сервис ExpressVPN обновил на площадке Bugcrowd свою программу обнаружения уязвимостей Bug Bounty. Сервис назначил самую высокую разовую награду, предлагаемую на платформе Bugcrowd, в размере $100 тыс. за компрометацию или взлом собственной системы безопасности TrustedServer.
В рамках Bug Bounty от ExpressVPN исследователям безопасности уже шесть лет предлагается изучить и найти баги в пользовательских приложениях VPN-сервиса под разные платформы, расширениях для браузеров и различных веб-сайтах и платформах сервиса, включая те, которые размещены в сети Tor. Участники программы могут получить от $150 до $2,5 тыс. за обнаруженные уязвимости в сервисах и IT-инфраструктуре ExpressVPN.
ExpressVPN впервые предложила сторонним ИБ-экспертам взломать и найти критические уязвимости в их собственной технологии TrustedServer. Награда в $100 тыс. достанется первому исследователю, кто сможет получить удаленный доступ к серверам ExpressVPN или получить данные клиентов сервиса — их фактических IP-адресов, а также сможет отслеживать пользовательский трафик.
По заявлению ExpressVPN, TrustedServer — это специально созданная система на базе Debian Linux с доработанными и улучшенными элементами безопасности, которые делают ее идеальной для использования в сетевой инфраструктуре с использованием VPN.
Эксперты Bleeping Computer пояснили, что ExpressVPN использует на своих серверах сборки на базе TrustedServer, которые работают только в оперативной памяти (RAM) отказоустойчивых серверных решений ExpressVPN, распределенных географически в разных регионах мира. Сервис периодически проводит очистку накопленных пользовательских данных, которая активируется при перезагрузке серверов. В системе TrustedServer предусмотрена проверка сборки, которая предотвращает случаи несанкционированного вмешательства в код. Также инженеры сервиса еженедельно переустанавливают данную систему с новыми обновлениями на каждом сервере ExpressVPN.
Издание Bleeping Computer