Proton

Program premii za wykrycie błędów Proton

Społeczność Proton ufa naszym usługom, które zapewniają bezpieczeństwo ich danych. Traktujemy to zaufanie poważnie, dlatego też angażujemy się we współpracę ze społecznością zajmującą się badaniami nad bezpieczeństwem, aby identyfikować, weryfikować i usuwać potencjalne luki w zabezpieczeniach.

Jeśli zajmujesz się badaniami nad bezpieczeństwem, możesz pomóc w zwiększeniu bezpieczeństwa usług Proton, zyskać uznanie jako osoba przyczyniająca się do rozwoju bezpieczeństwa, a potencjalnie także zdobyć nagrodę. I będziesz odgrywać rolę w budowaniu lepszego Internetu, w którym prywatność jest domyślna.

Zakres i zasady programu premii za wykrycie błędów

Zanim zgłosisz lukę w zabezpieczeniach do Programu premii za wykrycie błędów, zapoznaj się z poniższymi dokumentami:

  • Nasza polityka ujawniania luk w zabezpieczeniach opisuje akceptowane metody testowania programu.

  • Nasza zasada bezpiecznej przystani wyjaśnia, jakie testy i działania są chronione przed odpowiedzialnością, gdy zgłaszasz luki w zabezpieczeniach w Programie premii za wykrycie błędów Proton.

Przeczytaj politykę ujawniania luk w zabezpieczeniach
Więcej informacji na temat zasad bezpiecznej przystani

Jak zgłosić lukę w zabezpieczeniach?

Raporty o lukach w zabezpieczeniach można przesyłać pocztą elektroniczną na adres security@proton.me. Raporty możesz przesyłać w postaci zwykłego tekstu, tekstu sformatowanego lub HTML.

Jeśli nie korzystasz z Proton Mail, zachęcamy do szyfrowania zgłoszeń za pomocą naszego klucza publicznego PGP.

Kwalifikujące się luki

W ramach naszego programu premii za wykrycie błędów prawdopodobnie rozważymy każdy problem projektowy lub implementacyjny, który w znacznym stopniu wpływa na poufność lub integralność danych użytkownika. Obejmuje to między innymi:

Aplikacje webowe

  • Cross-site scripting

  • Mixed-content scripts

  • Cross-site request forgery

  • Luki w uwierzytelnianiu lub autoryzacji

  • Błędy wykonania kodu po stronie serwera

  • Luki w interfejsie REST API

Aplikacje desktopowe

  • Zdalne wykonanie kodu za pośrednictwem aplikacji Proton

  • Wyciek danych lokalnych, poświadczeń lub informacji z magazynu kluczy

  • Słabe strony uwierzytelniania i autoryzacji

  • Niezabezpieczone mechanizmy aktualizacji lub podpisywania kodu

  • Lokalne luki w zabezpieczeniach umożliwiające eskalację uprawnień

Aplikacje mobilne

  • Naruszenie bezpieczeństwa lokalnych danych mobilnych

  • Luki w uwierzytelnianiu lub autoryzacji

  • Błędy wykonania kodu po stronie serwera

Serwery

  • Eskalacja uprawnień

  • Exploity SMTP (na przykład otwarte przekaźniki)

  • Nieautoryzowany dostęp do powłoki systemowej

  • Nieautoryzowany dostęp do API

Wyłączenia z zakresu

Zapoznaj się z naszą polityką ujawniania luk w zabezpieczeniach.

Ocena zgłoszeń i określanie nagród

Doceniamy i nagradzamy badania bezpieczeństwa prowadzone w dobrej wierze zgodnie z niniejszą polityką.

Wysokość nagród jest oceniana indywidualnie przez nasz panel orzekający, który składa się z członków zespołu ds. bezpieczeństwa i inżynierii Proton. Panel ten podejmuje wszystkie ostateczne decyzje dotyczące przyznawania nagród, a uczestnicy muszą zgodzić się na ich respektowanie.

Waga wpływu na dane użytkowników Proton jest głównym czynnikiem przy określaniu wysokości nagród. Poniższe kwoty przedstawiają standardowe przedziały nagród. Rzeczywiste wypłaty mogą się różnić w zależności od takich czynników jak:

  • Warunki wstępne: czy wykorzystanie luki zależy od dodatkowych wymagań wykraczających poza samą lukę, na przykład:

    • Nietypowe ustawienia użytkownika – opiera się na nietypowych konfiguracjach lub ustawieniach użytkownika.
    • Konfiguracje niestandardowe – wymaga niestandardowej konfiguracji oprogramowania Proton.
    • Niezawodność exploita – sukces jest niespójny, na przykład niedeterministyczny, z powodu warunków wyścigu, niskiego wskaźnika powodzenia RCE.
    • Stan urządzenia lokalnego – wymaga podwyższonych uprawnień, urządzenia po jailbreaku / zrootowanego i/lub dostępu fizycznego.
    • Warunki środowiskowe lub sieciowe – zależne od rzadkich lub mało prawdopodobnych warunków zewnętrznych.

  • Zakres wpływu: stopień, w jakim może zostać naruszona poufność, integralność lub dostępność naszych usług.

  • Wartość w łańcuchu exploitów: czy problem może przyczynić się do szerszego łańcucha luk w zabezpieczeniach.

  • Możliwość wykorzystania: prawdopodobieństwo, że problem może zostać wykorzystany w rzeczywistym ataku.

  • Nowość: czy problem jest nowy, wcześniej zgłoszony, czy już publiczny; kwalifikuje się tylko pierwsze poprawne zgłoszenie.

  • Jakość zgłoszenia: musi zawierać powtarzalny dowód słuszności koncepcji lub jasną ścieżkę wykazującą wpływ. Kod lub pseudokod jest wysoce preferowany.

W wyjątkowych przypadkach nagrody mogą zostać zwiększone do maksymalnej kwoty.

Wysokość nagród

  • Maksymalna nagroda: 100 000 USD

  • Poziom krytyczny: 25 000–50 000 USD

    Odkrycie luki w zabezpieczeniach, która pozwala na pełną, trwałą i nieautoryzowaną kontrolę nad środowiskiem usługi lub narusza poufność bądź integralność danych wszystkich użytkowników bez konieczności spełnienia specjalnych warunków lub wcześniejszego dostępu.

  • Poziom wysoki: 2500–25 000 USD

    Odkrycie luki w zabezpieczeniach, która prowadzi do trwałej, nieautoryzowanej kontroli nad dużą częścią środowiska usługi lub do znacznego naruszenia poufności bądź integralności danych, które dotyka szerokiej grupy użytkowników – bez konieczności spełnienia specjalnych warunków lub wcześniejszego dostępu – ale nadal nie prowadzi do pełnego naruszenia bezpieczeństwa usługi.

  • Poziom średni: 1000–2500 USD

    Odkrycie luki w zabezpieczeniach, która pozwala na nieautoryzowaną kontrolę nad częścią środowiska usługi lub narusza integralność bądź poufność danych pojedynczego użytkownika lub małej grupy. Alternatywnie, luki w zabezpieczeniach o szerszym wpływie, które wymagają znacznej interakcji użytkownika lub określonych warunków, ale nadal prowadzą do ujawnienia wrażliwych danych lub elementów sterujących.

  • Poziom niski: rozpatrywane indywidualnie, domyślnie bez nagrody pieniężnej

    Odkrycie luki w zabezpieczeniach o ograniczonym wpływie lub z mało prawdopodobnymi warunkami.

Wymagania kwalifikacyjne

Odkrycia, które opisują zamierzone zachowanie, zalecenia teoretyczne lub dotyczące najlepszych praktyk bez konkretnej ścieżki do wykorzystania, nie kwalifikują się. Pierwszy poprawnie zgłaszający każdej kwalifikującej się luki w zabezpieczeniach otrzymuje odpowiednią wypłatę po potwierdzeniu problemu przez Proton i wdrożeniu poprawki.

Masz więcej pytań

Pytania dotyczące tych zasad można kierować na adres security@proton.me. Proton zachęca researcherów ds. bezpieczeństwa do kontaktu z nami w celu wyjaśnienia dowolnego elementu tej polityki

Prosimy skontaktować się z nami, jeśli nie masz pewności, czy konkretna metoda testowania jest sprzeczna z tą polityką lub nie została przez nią uwzględniona przed rozpoczęciem testów. Zachęcamy również osoby zajmujące się badaniem bezpieczeństwa do skontaktowania się z nami w celu przedstawienia sugestii dotyczących ulepszenia tej polityki.

Skontaktuj się z nami