Proton

Hata bulma ödülü programı

Proton topluluğu, bilgilerini güvende tutmak için hizmetlerimize güveniyor. Bu güveni ciddiye alıyoruz, bu nedenle olası güvenlik açıklarını belirlemek, doğrulamak ve çözmek için güvenlik araştırma topluluğuyla birlikte çalışmaya kararlıyız.

Bir güvenlik araştırmacısıysanız, Proton hizmetlerini daha güvenli hale getirmeye, güvenlik katılımcısı olarak tanınmaya ve bir ödül kazanma olasılığına yardımcı olabilirsiniz. Ve gizliliğin varsayılan olduğu daha iyi bir internetin oluşturulmasında rol oynayacaksınız.

Hata ödül programı kapsamı ve kuralları

Proton hata bulma ödülü programına bir güvenlik açığı göndermeden önce aşağıdaki belgeleri okumalısınız:

  • Güvenlik açığı açıklama ilkemiz, programın kabul edilen sınama yöntemlerini açıklar.

  • Güvenli liman ilkemiz, güvenlik açıklarını Proton hata bulma ödülü programına bildirdiğinizde hangi sınamaların ve eylemlerin sorumluluktan korunduğunu açıklar

Güvenlik açığı açıklama ilkesini okuyun
Güvenli liman ilkesi ile ilgili ayrıntılı bilgi

Bir güvenlik açığı nasıl bildirilir?

Güvenlik açığı bildirimlerini security@proton.me adresinden e-posta ile gönderebilirsiniz. Bildirimleri düz metin, zengin metin veya HTML biçiminde gönderebilirsiniz.

Proton Mail kullanmıyorsanız, gönderimlerinizi PGP herkese açık anahtarımızı kullanarak şifrelemenizi öneririz.

Sınıflandırılmış güvenlik açıkları

Hata ödül programımızın kapsamında, kullanıcı verilerinin gizliliğini veya bütünlüğünü önemli ölçüde etkileyen herhangi bir tasarım ya da uygulama sorununu büyük olasılıkla dikkate alacağız. Şunlar da kapsanır ancak bunlarla sınırlı değildir:

İnternet uygulamaları

  • Siteler arası betik çalıştırma

  • Karışık içerik betikleri

  • Siteler arası istek sahteciliği

  • Kimlik doğrulama ya da yetki açıkları

  • Sunucu tarafında kod yürütme hataları

  • REST API güvenlik açıkları

Bilgisayar uygulamaları

  • Proton uygulamaları aracılığıyla uzaktan kod çalıştırma

  • Yerel verilerin, kimlik bilgilerinin veya anahtar zinciri bilgilerinin sızması

  • Kimlik doğrulama ve yetkilendirme zayıflıkları

  • Güvensiz güncelleme veya kod imzalama mekanizmaları

  • Yerel ayrıcalık yükseltme güvenlik açıkları

Mobil uygulamalar

  • Mobil yerel veri güvenliği ihlali

  • Kimlik doğrulama ya da yetki açıkları

  • Sunucu tarafında kod yürütme hataları

Sunucular

  • Yetki yükseltme

  • SMTP açıkları (örneğin, açık aktarıcılar)

  • Yetkisiz kabuk erişimi

  • Yetkisiz API erişimi

Kapsam dışında kalanlar

Lütfen güvenlik açığı bildirme ilkemizi inceleyiniz.

Bildirimleri değerlendirme ve ödülleri belirleme

Bu ilkeye uygun olarak yürütülen iyi niyetli güvenlik araştırmalarını tanır ve ödüllendiririz.

Ödül tutarları, Proton Güvenlik ve Mühendislik ekibi üyelerinden oluşan değerlendirme kurulumuz tarafından duruma göre değerlendirilir. Bu kurul, ödül tutarlarıyla ilgili tüm nihai kararları verir ve katılımcıların bu kararlara uymayı kabul etmesi gerekir.

Proton kullanıcılarının verileri üzerindeki etkinin ciddiyeti, ödül tutarlarının belirlenmesindeki birincil etkendir. Aşağıda listelenen rakamlar standart ödül aralıklarını göstermektedir. Gerçek ödemeler, aşağıdaki gibi etkenlere bağlı olarak değişiklik gösterebilir:

  • Ön koşullar: Kötüye kullanımın, güvenlik açığının kendisinin ötesinde ek gereksinimlere bağlı olup olmadığı, örneğin:

    • Yaygın olmayan kullanıcı ayarları – olağan dışı kullanıcı yapılandırmalarına veya ayarlarına dayanır.
    • Varsayılan olmayan yapılandırmalar – Proton yazılımının standart olmayan bir şekilde ayarlanmasını gerektirir.
    • Kötüye kullanım güvenilirliği – başarı tutarsızdır; örneğin, yarış koşulları, düşük uzaktan kod çalıştırma başarı oranları nedeniyle belirleyici olmayan başarı.
    • Yerel aygıt durumu – yükseltilmiş ayrıcalıklar, jailbreak/root yapılmış bir aygıt ve/veya fiziksel erişim gerektirir.
    • Çevresel veya ağ koşulları – nadir veya beklenmedik dış koşullara bağlıdır.

  • Etki kapsamı: Hizmetlerimizin gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ne ölçüde etkilenebileceği.

  • Kötüye kullanım zinciri değeri: Sorunun daha geniş bir güvenlik açığı zincirine katkıda bulunup bulunamayacağı.

  • Kötüye kullanılabilirlik: Sorunun gerçek bir saldırıda kullanılma olasılığı.

  • Yenilik: Sorunun yeni, daha önce bildirilmiş veya zaten herkese açık olup olmadığı; yalnızca ilk geçerli bildirim uygundur.

  • Bildirim kalitesi: Etkiyi gösteren, tekrarlanabilir bir kavram kanıtı veya açık bir yol içermelidir. Kod veya sözde kod öncelikli olarak tercih edilir.

İstisnai durumlarda, ödüller en yüksek ödül tutarına kadar artırılabilir.

Ödül tutarları

  • En yüksek ödül: 100.000 ABD Doları

  • Kritik önem derecesi: 25.000 - 50.000 ABD Doları

    Hizmet ortamının tamamen sürekli olarak yetkisiz bir şekilde denetlenmesine olanak tanıyan veya özel koşullar ya da önceden erişim gerektirmeden tüm kullanıcıların verilerinin gizliliğini veya bütünlüğünü tehlikeye atan bir güvenlik açığının keşfi.

  • Yüksek önem derecesi: 2.500 - 25.000 ABD Doları

    Hizmet ortamının büyük bir bölümü üzerinde sürekli yetkisiz denetim sağlayan veya geniş bir kullanıcı grubunu etkileyen, özel koşullar ya da önceden erişim gerektirmeyen ancak tam hizmet güvenliğini ihlal etmeyen önemli bir veri gizliliği veya bütünlüğü ihlaline yol açan bir güvenlik açığının keşfi.

  • Orta önem derecesi: 1.000 - 2.500 ABD Doları

    Hizmet ortamının bir bölümü üzerinde yetkisiz denetime olanak tanıyan veya tek bir kullanıcı ya da küçük bir grubun kullanıcı verilerinin bütünlüğünü veya gizliliğini tehlikeye atan bir güvenlik açığının keşfi. Alternatif olarak, önemli kullanıcı etkileşimi veya belirli koşullar gerektiren ancak yine de hassas verilerin ya da denetimlerin açığa çıkmasına yol açan daha geniş etkili güvenlik açıkları.

  • Düşük önem derecesi: Duruma göre, varsayılan olarak parasal ödül verilmez

    Sınırlı etkisi olan veya beklenmedik koşullara sahip bir güvenlik açığının keşfi.

Uygunluk koşulları

Amaçlanan davranışı açıklayan bulgular, somut bir kötüye kullanım yolu olmayan teorik veya en iyi uygulama önerileri uygun değildir. Proton sorunu onaylayıp bir düzeltme yayınladıktan sonra, uygun her güvenlik açığını bildiren ilk geçerli kişi ilgili ödemeyi alır.

Sorularınız

Bu ilkeyle ilgili sorularınızı security@proton.me adresine gönderebilirsiniz. Proton, bu ilkenin herhangi bir maddesindeki ayrıntıları güvenlik araştırmacıları ile değerlendirmeye açıktır.

Emin değilseniz lütfen sınamaya başlamadan önce belirli bir sınama yöntemi bu ilkeyle tutarsızsa veya bu ilke tarafından ele alınmamışsa bize ulaşın. Güvenlik araştırmacılarını bu ilkeyi geliştirmeye yönelik önerileri için bizimle görüşmeye davet ediyoruz.

Bize ulaşın