Cyberthreat.id – Layanan jaringan pribadi virtual (VPN), ExpressVPN, pekan lalu mengumumkan program sayembara mencari celah keamanan (bug bounty).

Program tersebut dikelola oleh platform pengujian keamanan crowdsourced, Bugcrowd.

Selama empat tahun ini, ExpressVPN telah mengadakan sayembara bug dan telah membayar para peneliti keamanan (pentester) puluhan ribu dolar dari temuan kerentanan aplikasi, jaringan, server, situs web, dan router.

“Kami mendorong para peneliti, penguji, dan peretas topi putih untuk mengirimkan temuan mereka melalui platform Bugcrowd," kata perusahaan seperti dikutip dari Security Week, diakses Senin (20 Juli 2020).

Masalah yang diidentifikasi fokus pada kebocoran data, kelemahan dalam protokol enkripsi, dan kelemahan yang memungkinkan penyerang mengakses server, atau membahayakan sistem dan pengguna.

Semua properti ExpressVPN berada dalam lingkup program tersebut, seperti aplikasi (baik seluler dan desktop), ekstensi browser, API, server, dan situs web.

ExpressVPN telah menyiapkan hadiah antara US$ 2.100 hingga US$ 2.500 untuk kerentanan kritis, antara US$ 1.000 hingga US$ 1.250 untuk masalah yang dinilai berisiko tinggi, US$ 450 hingga US$ 600 untuk cacat tingkat keparahan sedang, dan US$ 150 hingga US$ 200 untuk bug berisiko rendah.

“Hanya kerentanan yang diungkapkan secara bertanggung jawab, tanpa melanggar privasi pengguna, dan yang berada dalam lingkup program akan dianggap sah,” kata perusahaan.

Peretas topi putih yang tertarik dengan program ini dapat mengakses ke bagian “Get Credentials” di Bugcrowd untuk menerima kredensial ExpressVPN gratis untuk tujuan pengujian. Semua pengiriman akan ditangani oleh Bugcrowd, termasuk yang diterima melalui email.

“Bacalah dengan cermat tentang program ini, terutama ruang lingkup, aturan dasar, perjanjian pelabuhan aman, dan ketentuan pengungkapan standar Bugcrowd. Silakan bermain sesuai aturan, ungkapkan kerentanan segera, dan jaga kerahasiaannya sampai diperbaiki, ”catat ExpressVPN.[]

 

Redaktur: Andi Nugroho