VPN-сервіс NordVPN запустив програму виплати винагороди дослідникам безпеки за виявлені вразливості
VPN-сервіс NordVPN запустив програму виплати винагороди дослідникам безпеки за виявлені вразливості
VPN-сервіс NordVPN запустив на платформі HackerOne програму виплати винагороди дослідникам безпеки за виявлені вразливості. Сума винагороди становить від $100 до $5 тис., проте NordVPN готовий заплатити більше за «особливо хитромудрі та небезпечні» вразливості.
Отримати винагороду дослідники можуть за повідомлення про уразливості в сайтах NordVPN (nordvpn.com та деяких піддоменах), розширеннях Chrome і Firefox, VPN-серверах, а також у десктопних та мобільних додатках для всіх платформ. Компанія також проінструктувала дослідників, як повідомляти про вразливості у WordPress, OpenVPN та StrongSwan відповідним вендорам безпосередньо.
У NordVPN запевнили, що дослідникам безпеки не загрожують ніякі юридичні переслідування, якщо їхнє тестування проводиться виключно з добрими намірами. Однак їм забороняється розкривати вразливості до виходу виправлення і без чіткого дозволу. До розкриття вразливостей має пройти щонайменше 90 днів.
Запуск програми bug bounty – одна з обіцянок, даних NordVPN своїм клієнтам після повідомлень про злому NordVPN та інших VPN-провайдерів. Повідомивши про інцидент, NordVPN пообіцяв запустити програму bug bounty, у співпраці з ІБ-компанією VerSprite провів розслідування та повний аудит безпеки інфраструктури, переключився на бездискові сервери RAM та реалізував вищі стандарти безпеки.
