Proton

Программа вознаграждений за обнаружение ошибок Proton

Сообщество Proton доверяет нашим сервисам защиту своей информации. Мы серьёзно относимся к этому доверию, поэтому мы стремимся сотрудничать с сообществом исследователей безопасности для выявления, проверки и устранения потенциальных уязвимостей.

Если вы исследователь безопасности, вы можете помочь сделать сервисы Proton безопаснее, получить признание в качестве участника в области безопасности и, возможно, получить вознаграждение. И вы примете участие в создании лучшего интернета, где конфиденциальность является стандартом.

Область действия и правила программы вознаграждения за обнаружение ошибок

Прежде чем отправлять информацию об уязвимости в программу Bug Bounty Proton, вам следует ознакомиться со следующими документами:

  • В нашей политике раскрытия информации об уязвимостях описаны принятые в программе методы тестирования.

  • В нашей политике безопасной гавани объясняется, какие тесты и действия защищены от ответственности, когда вы сообщаете об уязвимостях в программе Bug Bounty Proton.

Ознакомьтесь с политикой раскрытия информации об уязвимостях
Подробнее о политике безопасной гавани

Как сообщить об уязвимости?

Вы можете отправлять отчёты об уязвимостях по электронной почте на адрес security@proton.me. Вы можете отправлять отчёты в виде обычного текста, форматированного текста или HTML.

Если вы не используете Proton Mail, мы рекомендуем вам зашифровать свои заявки с помощью нашего открытого ключа PGP.

Соответствующие уязвимости

В рамках нашей программы вознаграждения за обнаружение ошибок мы, скорее всего, будем рассматривать любые проблемы проектирования или реализации, которые существенно влияют на конфиденциальность или целостность данных пользователей. Сюда входит, но не ограничивается следующим:

Веб-приложения

  • Межсайтовый скриптинг

  • Скрипты смешанного содержимого

  • Межсайтовая подделка запросов

  • Недостатки аутентификации или авторизации

  • Ошибки выполнения кода на стороне сервера

  • Уязвимости REST API

Приложения для стационарных устройств

  • Удалённое выполнение кода через приложения Proton

  • Утечка локальных данных, учётных данных или информации из связки ключей

  • Слабые места в аутентификации и авторизации

  • Небезопасные механизмы обновления или подписи кода

  • Уязвимости, связанные с локальным повышением привилегий

Мобильные приложения

  • Нарушение безопасности локальных данных на мобильных устройствах

  • Недостатки аутентификации или авторизации

  • Ошибки выполнения кода на стороне сервера

Серверы

  • Повышение привилегий

  • Эксплойты SMTP (например, открытые ретрансляторы)

  • Несанкционированный доступ к оболочке

  • Несанкционированный доступ к API

Исключения из области действия

Ознакомьтесь с нашей политикой раскрытия информации об уязвимостях.

Оценка заявок и определение вознаграждений

Мы признаём и вознаграждаем добросовестные исследования в области безопасности, проведённые в соответствии с этой политикой.

Размеры вознаграждений оцениваются в каждом конкретном случае нашей экспертной комиссией, состоящей из членов команд безопасности и инженерии Proton. Эта комиссия принимает все окончательные решения по вознаграждениям, и участники должны согласиться с этими решениями.

Серьёзность последствий для данных пользователей Proton является основным фактором при определении размера вознаграждения. Приведённые ниже цифры представляют собой стандартные диапазоны вознаграждений. Фактические выплаты могут варьироваться в зависимости от таких факторов, как:

  • Предварительные условия: зависит ли эксплуатация уязвимости от дополнительных требований, помимо самой уязвимости, например:

    • Нестандартные пользовательские настройки — зависит от нетипичных конфигураций или настроек пользователя.
    • Конфигурации, отличающиеся от стандартных, — требует, чтобы программное обеспечение Proton было настроено нестандартным образом.
    • Надёжность эксплойта — успех непостоянен, например, недетерминированный успех из-за состояний гонки, низкий процент успешных удалённых выполнений кода.
    • Состояние локального устройства — требует повышенных привилегий, устройства со взломанной (jailbroken/rooted) прошивкой и/или физического доступа.
    • Условия окружения или сети — зависит от редких или маловероятных внешних условий.

  • Масштаб воздействия: степень, в которой могут быть затронуты конфиденциальность, целостность или доступность наших сервисов.

  • Значение в цепочке эксплойтов: может ли проблема стать частью более широкой цепочки уязвимостей.

  • Возможность эксплуатации: вероятность того, что проблема может быть использована в реальной атаке.

  • Новизна: является ли проблема новой, сообщалось ли о ней ранее или она уже общедоступна; право на вознаграждение имеет только первая действительная заявка.

  • Качество заявки: должна включать воспроизводимое доказательство концепции или чёткое описание последствий. Настоятельно рекомендуется предоставлять код или псевдокод.

В исключительных случаях вознаграждение может быть увеличено до максимальной суммы.

Размеры вознаграждений

  • Максимальное вознаграждение: 100 000 долларов США

  • Критическая степень серьёзности: 25 000–50 000 долларов США

    Обнаружение уязвимости, которая позволяет получить полный устойчивый несанкционированный контроль над средой сервиса или нарушает конфиденциальность или целостность данных всех пользователей, не требуя особых условий или предварительного доступа.

  • Высокая степень серьёзности: 2500–25 000 долларов США

    Обнаружение уязвимости, которая приводит к устойчивому несанкционированному контролю над значительной частью среды сервиса или к существенному нарушению конфиденциальности или целостности данных, затрагивающему широкую группу пользователей (без особых условий или предварительного доступа), но не приводящему к полной компрометации сервиса.

  • Средняя степень серьёзности: 1000–2500 долларов США

    Обнаружение уязвимости, которая позволяет получить несанкционированный контроль над частью среды сервиса или нарушает целостность или конфиденциальность данных одного пользователя или небольшой группы. Либо уязвимости с более широким воздействием, которые требуют значительного взаимодействия с пользователем или особых условий, но всё же приводят к раскрытию конфиденциальных данных или элементов управления.

  • Низкая степень серьёзности: рассматривается в индивидуальном порядке, денежное вознаграждение по умолчанию не предусмотрено

    Обнаружение уязвимости с ограниченным воздействием или маловероятными условиями для эксплуатации.

Требования для участия

Обнаруженные проблемы, описывающие предполагаемое поведение, теоретические рекомендации или рекомендации по лучшим практикам без конкретного способа эксплуатации, не подлежат вознаграждению. Первый исследователь, сообщивший о соответствующей требованиям уязвимости, получает соответствующую выплату после того, как Proton подтвердит наличие проблемы и выпустит исправление.

Вопросы

Вопросы, касающиеся этой политики, можно отправлять по адресу security@proton.me. Proton рекомендует исследователям безопасности обращаться к нам для разъяснения любого элемента этой политики.

Пожалуйста, свяжитесь с нами, если вы не уверены, противоречит ли конкретный метод тестирования этой политике или не охвачен ею, прежде чем начать тестирование. Мы также предлагаем исследователям безопасности обращаться к нам с предложениями по улучшению этой политики.

Свяжитесь с нами