Proton

Programa de recompensas por errores de Proton

La comunidad de Proton confía en nuestros servicios para mantener segura su información. Nos tomamos en serio esa confianza, por eso nos dedicamos a trabajar con la comunidad de investigación de seguridad para identificar, verificar y resolver vulnerabilidades potenciales.

Si eres un investigador de seguridad, puedes ayudar a que los servicios de Proton sean más seguros, ser reconocido como colaborador de seguridad y potencialmente ganar una recompensa Y participarás en la construcción de un Internet mejor donde la privacidad sea la norma.

Alcance y reglas del programa de recompensas por errores

Antes de enviar una vulnerabilidad al programa de recompensas por errores de Proton, debes leer los siguientes documentos:

  • Nuestra política de divulgación de vulnerabilidades describe los métodos de prueba aceptados por el programa.

  • Nuestra política de puerto seguro explica qué pruebas y acciones están protegidas de responsabilidad cuando informa vulnerabilidades al programa de recompensas por errores de Proton.

Leer la política de divulgación de vulnerabilidades
Más sobre la política de puerto seguro

¿Cómo notificar una vulnerabilidad?

Puedes enviar informes de vulnerabilidad por correo electrónico a security@proton.me. Puedes enviar informes usando texto sin formato, texto enriquecido o HTML.

Si no usas Proton Mail, te recomendamos que cifres tus envíos usando nuestra clave pública PGP.

Vulnerabilidades calificadas

Probablemente consideraremos cualquier problema de diseño o implementación que afecte sustancialmente a la confidencialidad o integridad de los datos de los usuarios dentro del alcance de nuestro programa de recompensas por errores. Esto incluye, pero no se limita a:

Aplicaciones web

  • Secuencias de comandos entre sitios

  • Secuencias de comandos de contenido mixto

  • Falsificación de solicitudes entre sitios

  • Errores de autenticación o autorización

  • Errores de ejecución de código del lado del servidor

  • Vulnerabilidades de la API REST

Aplicaciones de escritorio

  • Ejecución remota de código a través de las aplicaciones de Proton

  • Fuga de datos locales, credenciales o información del llavero de claves

  • Debilidades en la autenticación y autorización

  • Mecanismos de actualización o firma de código no seguros

  • Vulnerabilidades de escalada de privilegios locales

Aplicaciones móviles

  • Violación de la seguridad de los datos locales del móvil

  • Errores de autenticación o autorización

  • Errores de ejecución de código del lado del servidor

Servidores

  • Escalada de privilegios

  • Vulnerabilidades de SMTP (por ejemplo, relés abiertos)

  • Acceso no autorizado al shell

  • Acceso no autorizado a la API

Exclusiones del alcance

Consulta nuestra política de divulgación de vulnerabilidades.

Evaluación de las propuestas y determinación de las recompensas

Reconocemos y recompensamos la investigación de seguridad de buena fe realizada de acuerdo con esta política.

Los importes de las recompensas son evaluados caso por caso por nuestro panel de adjudicación, que está formado por miembros de los equipos de seguridad e ingeniería de Proton. Este panel toma todas las decisiones finales sobre las recompensas y los participantes deben aceptar respetar estas decisiones.

La gravedad del impacto en los datos de los usuarios de Proton es el factor principal para determinar el importe de las recompensas. Las cifras que se indican a continuación representan los rangos de recompensa estándar. Los pagos reales pueden variar en función de factores como:

  • Precondiciones: si la explotación depende de requisitos adicionales más allá de la propia vulnerabilidad, por ejemplo:

    • Ajustes de usuario poco comunes: depende de configuraciones o ajustes de usuario atípicos.
    • Configuraciones no predeterminadas: requiere que el software de Proton se configure de forma no estándar.
    • Fiabilidad de la explotación: el éxito es inconsistente, por ejemplo, éxito no determinista, debido a condiciones de carrera, bajas tasas de éxito de RCE.
    • Estado del dispositivo local: requiere privilegios elevados, un dispositivo con jailbreak/rooteado y/o acceso físico.
    • Condiciones ambientales o de red: supeditado a condiciones externas raras o poco probables.

  • Alcance del impacto: el grado en que la confidencialidad, integridad o disponibilidad de nuestros servicios pueden verse afectadas.

  • Valor de la cadena de explotación: si el problema puede contribuir a una cadena más amplia de vulnerabilidades.

  • Explotabilidad: La probabilidad de que el problema pueda utilizarse en un ataque en el mundo real.

  • Novedad: si el problema es nuevo, se ha notificado anteriormente o ya es público; solo la primera propuesta válida es elegible.

  • Calidad de la propuesta: debe incluir una prueba de concepto reproducible o una ruta clara que demuestre el impacto. Se prefiere encarecidamente el código o pseudocódigo.

En casos excepcionales, las recompensas pueden aumentarse hasta el importe máximo de la recompensa.

Montos de recompensas

  • Recompensa máxima: 100.000 USD

  • Gravedad crítica: de 25.000 a 50.000 USD

    Descubrimiento de una vulnerabilidad que permite el control total, sostenido y no autorizado del entorno del servicio, o que compromete la confidencialidad o la integridad de los datos de todos los usuarios sin requerir condiciones especiales ni acceso previo.

  • Gravedad alta: de 2.500 a 25.000 USD

    Descubrimiento de una vulnerabilidad que conduce a un control sostenido y no autorizado sobre una gran parte del entorno del servicio, o a una violación significativa de la confidencialidad o integridad de los datos que afecta a un amplio grupo de usuarios, sin requerir condiciones especiales ni acceso previo, pero que aún no llega a comprometer por completo el servicio.

  • Gravedad media: de 1.000 a 2.500 USD

    Descubrimiento de una vulnerabilidad que permite el control no autorizado sobre parte del entorno del servicio, o que compromete la integridad o confidencialidad de los datos de un único usuario o de un grupo pequeño. Alternativamente, las vulnerabilidades con un impacto más amplio que requieren una interacción significativa del usuario o condiciones específicas, pero que aun así conducen a la exposición de datos o controles confidenciales.

  • Gravedad baja: caso por caso, sin recompensa monetaria por defecto

    Descubrimiento de una vulnerabilidad con un impacto limitado o con condiciones poco probables.

Requisitos de elegibilidad

Los hallazgos que describen el comportamiento previsto, las recomendaciones teóricas o de buenas prácticas sin una ruta concreta hacia la explotación no son elegibles. El primer informador válido de cada vulnerabilidad que cumpla los requisitos recibirá el pago correspondiente después de que Proton confirme el problema e implemente una solución.

Preguntas

Las preguntas sobre esta política pueden enviarse a security@proton.me. Proton anima a los investigadores de seguridad a que se pongan en contacto con nosotros para solicitar aclaraciones sobre cualquier elemento de esta política.

Comuníquete con nosotros si no estás seguro de si un método de prueba específico es inconsistente con esta política o no está abordado por esta política antes de comenzar la prueba. También invitamos a los investigadores de seguridad a contactarnos con sugerencias para mejorar esta política.

Contacto