Proton

Programa de recompensas por erros da Proton

A comunidade Proton confia nos nossos serviços para manter suas informações seguras. Levamos essa confiança a sério, e, por isso, colaboramos com a comunidade de pesquisa de segurança para identificar, verificar e resolver possíveis vulnerabilidades.

Se você trabalha com pesquisa de segurança, você pode ajudar a aumentar a proteção dos serviços da Proton, receber reconhecimento pela colaboração com a segurança e, dependendo da situação, até ganhar uma recompensa. E você fará parte da construção de uma internet melhor, em que a privacidade é o padrão.

Escopo e regras do programa de recompensas por erros

Antes de denunciar uma vulnerabilidade ao programa de recompensas por erros da Proton, leia os seguintes documentos:

  • Nossa política de divulgação de vulnerabilidades descreve os métodos de teste aceitos pelo programa.

  • Nossa política de porto seguro explica quais testes e ações estão livres de riscos quando você denuncia vulnerabilidades ao programa de recompensas por erros da Proton

Leia a política de divulgação de vulnerabilidades
Mais informações sobre a política de porto seguro

Como relatar uma vulnerabilidade?

Você pode enviar relatórios de vulnerabilidade por e-mail para security@proton.me. Você pode enviar relatórios usando texto simples, texto formatado ou HTML.

Se você não usa o Proton Mail, recomendamos que você criptografe seus envios usando nossa chave pública de PGP.

Vulnerabilidades no escopo

Provavelmente, consideraremos qualquer problema de projeto ou implementação que afete substancialmente a confidencialidade ou a integridade dos dados do usuário dentro do escopo do nosso programa de recompensas por erros. Isso inclui os seguintes problemas, entre outros:

Aplicações Web

  • Scripts entre sites

  • Scripts de conteúdo misto

  • Falsificação de solicitação entre sites (CSRF)

  • Falhas de autenticação ou autorização

  • Erros de execução de código no lado do servidor

  • Vulnerabilidades de API REST

Aplicativos de desktop

  • Execução remota de código por meio dos aplicativos Proton

  • Vazamento de dados locais, credenciais ou informações do porta-chaves

  • Limitações de autenticação e autorização

  • Mecanismos inseguros de atualização ou de assinatura de código

  • Vulnerabilidades de escalonamento de privilégios locais

Aplicativos para dispositivos móveis

  • Violação de segurança de dados locais em dispositivos móveis

  • Falhas de autenticação ou autorização

  • Erros de execução de código no lado do servidor

Servidores

  • Escalada de privilégios

  • Explorações de SMTP (por exemplo, relays abertos)

  • Acesso não autorizado ao shell

  • Acesso não autorizado à API

Exclusões do escopo

Consulte nossa política de divulgação de vulnerabilidades.

Julgamento dos envios e determinação das recompensas

Reconhecemos e recompensamos pesquisas de segurança de boa-fé realizadas de acordo com esta política.

Os valores das recompensas são avaliados caso a caso pelo nosso painel de adjudicação, que consiste em membros das equipes de Segurança e Engenharia da Proton. Esse painel toma todas as decisões finais sobre as recompensas, e os participantes devem concordar em respeitar essas decisões.

A gravidade do impacto nos dados dos usuários da Proton é o fator principal na determinação dos valores das recompensas. Os valores listados abaixo representam as faixas de recompensa padrão. Os pagamentos reais podem variar com base em fatores como:

  • Pré-condições: se a exploração depender de requisitos adicionais além da própria vulnerabilidade, por exemplo:

    • Configurações de usuário incomuns – depende de configurações ou ajustes atípicos do usuário.
    • Configurações não padrão – exige que o software da Proton seja configurado de uma forma não padrão.
    • Confiabilidade da exploração – o sucesso é inconsistente, por exemplo, sucesso não determinístico, devido a condições de corrida, baixas taxas de sucesso de RCE.
    • Estado do dispositivo local – requer privilégios elevados, um dispositivo com jailbreak/root e/ou acesso físico.
    • Condições ambientais ou de rede – dependente de condições externas raras ou improváveis.

  • Escopo do impacto: a medida em que a confidencialidade, integridade ou disponibilidade de nossos serviços pode ser afetada.

  • Valor da cadeia de exploração: se o problema pode contribuir para uma cadeia mais ampla de vulnerabilidades.

  • Explorabilidade: a probabilidade de que o problema possa ser usado em um ataque no mundo real.

  • Novidade: se o problema é novo, relatado anteriormente ou já público; apenas o primeiro envio válido é elegível.

  • Qualidade do envio: deve incluir uma prova de conceito reproduzível ou um caminho claro mostrando o impacto. É recomendável utilizar código ou pseudocódigo.

Em casos excepcionais, as recompensas podem ser aumentadas até o valor máximo da recompensa.

Valores das recompensas

  • Recompensa máxima: USD 100.000

  • Gravidade crítica: USD 25.000 a USD 50.000

    Descoberta de uma vulnerabilidade que permite o controle total, contínuo e não autorizado do ambiente de serviço, ou que compromete a confidencialidade ou a integridade dos dados de todos os usuários sem exigir condições especiais ou acesso prévio.

  • Gravidade alta: USD 2.500 a USD 25.000

    Descoberta de uma vulnerabilidade que leva a um controle contínuo e não autorizado sobre uma grande parte do ambiente de serviço, ou a uma violação significativa da confidencialidade ou integridade dos dados que afeta um grupo amplo de usuários — sem exigir condições especiais ou acesso prévio — mas que ainda não chega a comprometer totalmente o serviço.

  • Gravidade média: USD 1.000 a USD 2.500

    Descoberta de uma vulnerabilidade que permite controle não autorizado sobre parte do ambiente de serviço, ou que compromete a integridade ou a confidencialidade dos dados do usuário para um único usuário ou um grupo pequeno. Alternativamente, vulnerabilidades com impacto mais amplo que requerem interação significativa do usuário ou condições específicas, mas que ainda levam à exposição de dados ou controles sensíveis.

  • Gravidade baixa: caso a caso, sem recompensa monetária por padrão

    Descoberta de uma vulnerabilidade com impacto limitado ou com condições improváveis.

Requisitos de elegibilidade

Descobertas que descrevem o comportamento pretendido, recomendações teóricas ou de melhores práticas sem um caminho concreto para a exploração não são elegíveis. O primeiro relator válido de cada vulnerabilidade qualificada receberá o pagamento correspondente depois que a Proton confirmar o problema e implementar uma correção.

Tem outras dúvidas

Dúvidas sobre esta política podem ser enviadas para security@proton.me. A Proton incentiva os pesquisadores de segurança a entrar em contato conosco para obter esclarecimentos sobre qualquer elemento desta política.

Entre em contato conosco se não tiver certeza de que um método de teste específico é inconsistente ou não é abordado por esta política antes de iniciar o teste. Também convidamos os pesquisadores de segurança a entrar em contato conosco com sugestões para melhorar esta política.

Fale conosco