In Proton, vogliamo che tu possa scegliere cosa succede alle tue informazioni personali, ecco perché abbiamo creato una suite di servizi criptati che ti danno il controllo. Parte integrante del darti il controllo è spiegare esattamente come funzionano i nostri servizi, inclusa la protezione delle tue informazioni. Questo è l’unico modo per prendere una decisione informata su chi affidare i dettagli della tua vita.
Dato che proteggi informazioni sensibili con il tuo gestore di password, è fondamentale che tu sappia esattamente cosa succede al suo interno. Poiché Proton Pass è open source, chiunque può ispezionare il nostro codice e assicurarsi che le app funzionino come descritto.
Puoi trovare il codice sorgente di Proton Pass qui:
- Estensioni del browser Proton Pass(nuova finestra)
- App Proton Pass per iOS/iPadOS(nuova finestra)
- App Proton Pass per Android(nuova finestra)
Esamina il codice di tutte le app Proton
Proton Pass ha superato un’audizione di sicurezza indipendente
Essere open source significa che chiunque può verificare il nostro codice, ma non tutti hanno il tempo, l’esperienza tecnica o l’interesse per analizzare il codice delle nostre app. Per questo motivo commissioniamo e pubblichiamo regolarmente audit di sicurezza indipendenti per tutte le nostre app.
Il codice di Proton Pass è stato sottoposto a un’audizione di sicurezza dalla società tedesca di sicurezza Cure53(nuova finestra) durante i mesi di maggio e giugno. Abbiamo scelto Cure53 per l’audit di Proton Pass perché volevamo assicurarci che Proton Pass ricevesse i test più rigorosi possibili, e Cure53 ha una vasta esperienza nell’investigare estensioni del browser e gestori di password. Hanno testato tutte le app mobili Proton Pass, le estensioni del browser e la nostra API.
Cure53 ha detto questo su Proton Pass: “La vasta e approfondita valutazione della sicurezza di Proton effettuata da Cure53 dimostra il loro impegno nel mantenere un alto livello di sicurezza. Con un numero moderato di scoperte e la maggior parte delle vulnerabilità di sicurezza limitate per gravità, lo stato generale della sicurezza attraverso le applicazioni e le piattaforme di Proton è lodevole”.
Questi risultati riflettono il profondo DNA di sicurezza di Proton e aiutano a validare molte delle decisioni architetturali che abbiamo preso con Proton Pass. Ci sono anche considerazioni specifiche per la gestione delle password che questa audizione ha aiutato a portare alla nostra attenzione. Ad esempio, ci è sfuggito un caso in cui un attaccante potrebbe controllare un sottodominio in un dominio dove l’utente ha un account e quindi ingannare un utente distratto facendogli inserire accidentalmente le sue credenziali.
Tutti i problemi segnalati nell’audit di sicurezza sono stati risolti tranne per il problema di gravità media PRO-01-003 WP1, che purtroppo non può essere risolto al momento a causa di una limitazione della piattaforma in Android (il sistema operativo Android non fornisce attualmente le informazioni che sarebbero necessarie per risolvere questo problema). Puoi leggere il rapporto dell’audit di Proton Pass(nuova finestra) tu stesso. Puoi anche trovare i rapporti di audit per tutti i servizi Proton.
Sicurezza di cui ti puoi fidare e verificare
Come azienda gestita da scienziati (Proton è stata fondata da scienziati che si sono incontrati al CERN), crediamo fortemente nell’etica scientifica della trasparenza e della revisione paritaria. Le affermazioni di Proton sulla sicurezza e la privacy possono essere verificate indipendentemente da altri, e il nostro codice open source permette che le nostre affermazioni siano continuamente testate, verificate e persino migliorate.
Invece di nascondere vulnerabilità e fare affidamento sulla segretezza per mantenere la “sicurezza” come altre aziende, sottoponiamo tutti i nostri servizi a un rigoroso esame pubblico, permettendoci di trovare e risolvere rapidamente eventuali problemi.
Per questo motivo, incoraggiamo attivamente l’ispezione e il controllo del codice di Proton attraverso il nostro pubblico Programma Bug Bounty. Se hai domande o commenti su Proton Pass, il suo audit di sicurezza o il nostro approccio all’open source, condividili con noi! Unisciti alla conversazione su Twitter(nuova finestra) e Reddit(nuova finestra).
