Proton

Proton-bug bountyprogramma

De Proton-community vertrouwt erop dat onze diensten hun informatie veilig bewaren. We nemen dat vertrouwen serieus en daarom zetten we ons in om samen te werken met de community van beveiligingsonderzoekers om potentiële kwetsbaarheden te identificeren, verifiëren en op te lossen.

Als u een beveiligingsonderzoeker bent, kunt u de diensten van Proton veiliger maken, erkenning krijgen als beveiligingsbijdrager en mogelijk een beloning verdienen. En u draagt bij aan het bouwen van een beter internet waar privacy de standaard is.

Reikwijdte en regels van het bugbountyprogramma

Voordat u een kwetsbaarheid indient bij het Proton-bug bountyprogramma, dient u de volgende documenten te lezen:

  • Ons beleid inzake openbaarmaking van kwetsbaarheden beschrijft de geaccepteerde testmethoden van het programma.

  • Ons safe harbor-beleid legt uit welke tests en acties zijn beschermd tegen aansprakelijkheid wanneer u kwetsbaarheden meldt aan het Proton-bug bountyprogramma

Lees het beleid inzake openbaarmaking van kwetsbaarheden
Meer over het safe harbor-beleid

Hoe meldt u een kwetsbaarheid?

U kunt kwetsbaarheidsrapporten per e-mail indienen via security@proton.me. U kunt rapporten indienen in platte tekst, rich text of HTML.

Als u geen Proton Mail gebruikt, raden we u aan uw inzendingen te versleutelen met onze openbare PGP-sleutel.

Kwalificerende kwetsbaarheden

We zullen waarschijnlijk elk ontwerp- of implementatieprobleem dat de vertrouwelijkheid of integriteit van gebruikersgegevens aanzienlijk beïnvloedt, binnen de reikwijdte van ons bugbountyprogramma in overweging nemen. Dit omvat, maar is niet beperkt tot:

Webapplicaties

  • Cross-site scripting

  • Scripts met gemengde inhoud

  • Cross-site request forgery

  • Authenticatie- of autorisatiefouten

  • Bugs in de code-uitvoering aan de serverzijde

  • Kwetsbaarheden in de REST API

Desktopapplicaties

  • Uitvoering van externe code via Proton-apps

  • Lekken van lokale gegevens, aanmeldingsgegevens of sleutelhangersinformatie

  • Zwakke plekken in authenticatie en autorisatie

  • Onveilige mechanismen bij updates of code-ondertekening

  • Lokale kwetsbaarheden voor escalatie van bevoegdheden

Mobiele toepassingen

  • Mobiel lokaal databeveiligingslek

  • Authenticatie- of autorisatiefouten

  • Bugs in de code-uitvoering aan de serverzijde

Servers

  • Privilege-escalatie

  • SMTP-exploits (bijvoorbeeld open relays)

  • Ongeautoriseerde shell-toegang

  • Ongeautoriseerde API-toegang

Uitsluitingen van de reikwijdte

Raadpleeg ons beleid voor het openbaar maken van kwetsbaarheden.

Inzendingen beoordelen en beloningen bepalen

We erkennen en belonen te goeder trouw uitgevoerd beveiligingsonderzoek dat in overeenstemming met dit beleid is uitgevoerd.

De hoogte van de beloningen wordt per geval beoordeeld door ons beoordelingspanel, dat bestaat uit leden van het beveiligings- en engineeringteam van Proton. Dit panel neemt alle definitieve beslissingen over de toekenning van beloningen, en deelnemers moeten ermee instemmen deze beslissingen te respecteren.

De ernst van de impact op de gegevens van Proton-gebruikers is de belangrijkste factor bij het bepalen van de hoogte van de beloningen. De hieronder vermelde bedragen vertegenwoordigen standaard beloningsbereiken. De daadwerkelijke uitbetalingen kunnen variëren op basis van factoren zoals:

  • Voorwaarden: of misbruik afhankelijk is van aanvullende vereisten naast de kwetsbaarheid zelf, bijvoorbeeld:

    • Ongewone gebruikersinstellingen – is afhankelijk van atypische gebruikersconfiguraties of -instellingen.
    • Niet-standaardconfiguraties – vereist dat Proton-software op een niet-standaard manier is ingesteld.
    • Betrouwbaarheid van de exploit – succes is niet consistent, bijvoorbeeld, niet-deterministisch succes, vanwege racecondities, lage succespercentages van RCE.
    • Lokale apparaatstatus – vereist verhoogde bevoegdheden, een gejailbreakt/geroot apparaat en/of fysieke toegang.
    • Omgevings- of netwerkomstandigheden – afhankelijk van zeldzame of onwaarschijnlijke externe omstandigheden.

  • Reikwijdte van de impact: de mate waarin de vertrouwelijkheid, integriteit of beschikbaarheid van onze diensten kan worden beïnvloed.

  • Waarde van de exploitketen: of het probleem kan bijdragen aan een bredere keten van kwetsbaarheden.

  • Exploiteerbaarheid: de waarschijnlijkheid dat het probleem kan worden gebruikt in een aanval in de echte wereld.

  • Nieuwheid: of het probleem nieuw is, eerder is gemeld of al openbaar is; alleen de eerste geldige inzending komt in aanmerking.

  • Kwaliteit van de inzending: moet een reproduceerbaar proof-of-concept bevatten of een duidelijk pad dat de impact aantoont. Code of pseudocode heeft een sterke voorkeur.

In uitzonderlijke gevallen kunnen beloningen worden verhoogd tot het maximale beloningsbedrag.

Beloningsbedragen

  • Maximale beloning: USD 100.000

  • Kritieke ernst: USD 25.000 - USD 50.000

    Ontdekking van een kwetsbaarheid die volledige, aanhoudende, ongeautoriseerde controle over de serviceomgeving mogelijk maakt, of de vertrouwelijkheid of integriteit van de gegevens van alle gebruikers in gevaar brengt zonder speciale voorwaarden of voorafgaande toegang te vereisen.

  • Hoog zwaarwegend: USD 2.500 - USD 25.000

    Ontdekking van een kwetsbaarheid die leidt tot aanhoudende ongeautoriseerde controle over een groot deel van de serviceomgeving, of een aanzienlijke schending van de vertrouwelijkheid of integriteit van gegevens die een brede groep gebruikers treft – zonder speciale voorwaarden of voorafgaande toegang te vereisen – maar die nog steeds geen volledige compromittering van de service inhoudt.

  • Gemiddeld zwaarwegend: USD 1.000 - USD 2.500

    Ontdekking van een kwetsbaarheid die ongeautoriseerde controle over een deel van de serviceomgeving mogelijk maakt, of de integriteit of vertrouwelijkheid van gebruikersgegevens voor een enkele gebruiker of een kleine groep in gevaar brengt. Als alternatief, kwetsbaarheden met een bredere impact die aanzienlijke gebruikersinteractie of specifieke omstandigheden vereisen, maar die nog steeds leiden tot de blootstelling van gevoelige gegevens of bedieningselementen.

  • Lage zwaartegraad: per geval, standaard geen geldelijke beloning

    Ontdekking van een kwetsbaarheid met een beperkte impact of met onwaarschijnlijke omstandigheden.

Deelnamevereisten

Bevindingen die bedoeld gedrag, theoretische of 'best practice'-aanbevelingen beschrijven zonder een concreet pad naar misbruik, komen niet in aanmerking. De eerste geldige melder van elke in aanmerking komende kwetsbaarheid ontvangt de bijbehorende uitbetaling nadat Proton het probleem heeft bevestigd en een oplossing heeft geïmplementeerd.

Heeft u nog vragen

Vragen over dit beleid kunnen worden gestuurd naar security@proton.me. Proton moedigt beveiligingsonderzoekers aan om contact op te nemen als iets in dit beleid niet duidelijk is.

Neem contact met ons op als u niet zeker weet of een specifieke testmethode inconsistent is met of niet aan bod komt in dit beleid voordat u begint met testen. We moedigen beveiligingsondersoekers ook aan om contact met ons op te nemen als ze suggesties hebben om dit beleid te verbeteren.

Neem contact op