VPN-сервис NordVPN запустил программу bug bounty

Провайдер VPN-сервиса NordVPN запустил на платформе HackerOne программу выплаты вознаграждения исследователям безопасности за обнаруженные уязвимости. Сумма вознаграждения составляет от $100 до $5 тыс., однако NordVPN готов заплатить больше за «особо хитроумные и опасные» уязвимости.

Получить вознаграждение исследователи могут за сообщения об уязвимостях в сайтах NordVPN (nordvpn.com и некоторых поддоменах), расширениях Chrome и Firefox, VPN-серверах, а также в десктопных и мобильных приложениях для всех платформ. Компания также проинструктировала исследователей, как сообщать об уязвимостях в WordPress, OpenVPN и StrongSwan соответствующим вендорам непосредственно.

В NordVPN уверили, что исследователям безопасности не угрожают никакие юридические преследования, если их тестирование проводится исключительно с благими намерениями. Однако им запрещается раскрывать уязвимости до выхода исправления и без четкого на то разрешения. До раскрытия уязвимостей должно пройти не менее 90 дней.

Запуск программы bug bounty – одно из обещаний, данных NordVPN своим клиентам после известий о взломе NordVPN и других VPN-провайдеров. Сообщив об инциденте, NordVPN пообещал запустить программу bug bounty, в сотрудничестве с ИБ-компанией VerSprite провел расследование и полный аудит безопасности инфраструктуры, переключился на бездисковые серверы RAM и реализовал более высокие стандарты безопасности.