Proton

Hata bulma ödülü programı

Proton topluluğu, bilgilerini güvende tutmak için hizmetlerimize güveniyor. Bu güveni ciddiye alıyoruz, bu nedenle olası güvenlik açıklarını belirlemek, doğrulamak ve çözmek için güvenlik araştırma topluluğuyla birlikte çalışmaya kararlıyız.

Bir güvenlik araştırmacısıysanız, Proton hizmetlerini daha güvenli hale getirmeye, güvenlik katılımcısı olarak tanınmaya ve bir ödül kazanma olasılığına yardımcı olabilirsiniz. Gizlilik odaklı daha iyi bir internet oluşturmanın bir parçası olacaksınız.

Hata bulma ödülü programı
kapsam ve kurallar

Proton hata bulma ödülü programına bir güvenlik açığı göndermeden önce aşağıdaki belgeleri okumalısınız:

  • Güvenlik açığı açıklama ilkemiz, programın kabul edilen sınama yöntemlerini açıklar.
  • Güvenli liman ilkemiz, güvenlik açıklarını Proton hata bulma ödülü programına bildirdiğinizde hangi sınamaların ve eylemlerin sorumluluktan korunduğunu açıklar

Hata bulma ödülü programımız için hangi güvenlik açıklarının uygun olduğunu ve bunların nasıl değerlendirildiğini aşağıda daha ayrıntılı olarak açıkladık.

Güvenlik açığı nasıl
bildirilir?

Güvenlik açığı bildirimlerini security@proton.me adresinden e-posta ile gönderebilirsiniz. Bildirimleri düz metin, zengin metin veya HTML biçiminde gönderebilirsiniz.

Proton Mail kullanmıyorsanız, gönderimlerinizi PGP herkese açık anahtarımızı kullanarak şifrelemenizi öneririz.

Değerlendirme

Hata bulma ödülü değerlendirme komisyonumuz, Proton Güvenlik ve Mühendislik ekibi üyelerinden oluşur. Hata bulma ödülleriyle ilgili tüm son kararları bu komisyon verir ve katılımcılar, jüri üyeleri tarafından verilen karara saygı duyacaklarını kabul eder. Hakemler şu faktörleri göz önünde bulundurur:

  • Gönderimin ciddiyeti ve hizmetlerimizin kapsamını, gizliliğini, bütünlüğünü veya kullanılabilirliğini nasıl etkileyebileceği.
  • İnsan etkileşimi veya aygıt izinlerinin gerekli olup olmadığı.
  • Gönderimin kalitesi: Bildirilen güvenlik açığını açıkça gösteren kod veya sözde kod içeren kavramsal kanıtları yeğliyoruz.
  • Bildirilen senaryonun bir açıktan yararlanmakta kullanılma olasılığı.
  • Senaryonun daha önce bildirilip bildirilmediği veya herkes tarafından bilinip bilinmediği. Hata bulma ödülünde bir güvenlik açığının yalnızca ilk bildirimi dikkate alınır.
  • Yazılım güvenliği endüstri standartları ve iyi örnekler.

Sınıflandırılmış güvenlik açıkları

Kullanıcı verilerinin gizliliğini veya bütünlüğünü önemli ölçüde etkileyen herhangi bir tasarım veya uygulama sorunu, hata bulma ödülü programımızın kapsamı içinde değerlendirilecektir. Şunlar da kapsanır ancak bunlarla sınırlı değildir:

İnternet uygulamaları

  • Siteler arası betik çalıştırma
  • Siteler arası istek sahteciliği
  • Karışık içerik betikleri
  • Kimlik doğrulama ya da yetki açıkları
  • Sunucu tarafında kod yürütme hataları
  • REST API güvenlik açıkları

Sunucu

  • SMTP açıkları (açık aktarıcı gibi)
  • Yetkisiz kabuk erişimi
  • Yetkisiz API erişimi
  • Yetki yükseltme

Cep telefonu

  • Kimlik doğrulama ya da yetki açıkları
  • Sunucu tarafında kod yürütme hataları
  • Mobil yerel verilerinin ele geçirilmesi (root olmadan)

Sınıflandırma iyileştirmeleri

Bazen, listelenen kategorilerin hiçbirine girmeyen önerilere ödül veririz. Bunlar, duruma göre belirlenir ve tümüyle hata bulma ödülü değerlendirme komisyonumuzun değerlendirmesine bağlıdır. Bu iyileştirmeler şunları içerebilir:

  • E-posta veya internet sunucusu yapılandırma iyileştirmeleri
  • Güvenlik duvarı yapılandırmaları
  • Geliştirilmiş DoS ve DDoS korumaları
  • Yol ve bilgilerin açığa çıkması
  • Proton Mail günlüğü veya destek sayfası sorunları (yama uygulanmamış WordPress veya eklenti güvenlik açıkları gibi)

Sınıflandırılmamış güvenlik açıkları

  • Güncel olmayan tarayıcıları etkileyen açıklar
  • Proton Mail amacının kapsamı dışındaki güvenlik sorunları
  • Oltalama veya sosyal mühendislik saldırıları
  • Olasılığı düşük olan kullanıcı etkileşimleri gerektiren hatalar
  • WordPress hataları (ancak lütfen bunları WordPress tarafına bildirin)
  • Güncel olmayan yazılımlar (çeşitli nedenlerle, her zaman güncel yazılım sürümlerini çalıştırmıyoruz, ancak yazılımlara tüm yamaları uyguluyoruz)

Ödül tutarları

Program yönergelerine uygun güvenlik araştırmalarını ödüllendiriyoruz. Ödediğimiz ödülün tutarı, hata ödülü değerlendirme komisyonumuz tarafından duruma göre belirlenir. Tutar, büyük ölçüde bildirilen sorunun ciddiyetine göre belirlenir.

  • En yüksek ödül: $10.000
  • Kullanıcı verilerini tehlikeye atmayan küçük sunucu ve internet uygulaması güvenlik açıkları: $50
  • IP adresi gibi kişisel bilgileri sızdıran düşük önem dereceli güvenlik açıkları: $50
  • Kişisel bilgilerin açığa çıkmasıyla sonuçlanabilecek orta düzeyde güvenlik açıkları: $200
  • Veri bozulmasına yol açabilecek güvenlik açıkları: $200
  • Şifrelenmiş kullanıcı verilerinin açığa çıkmasına yol açabilecek güvenlik açıkları: $1.000+

Sorularınız?

Bu ilkeyle ilgili sorularınızı security@proton.me adresine gönderebilirsiniz. Proton, bu ilkenin herhangi bir maddesindeki ayrıntıları güvenlik araştırmacıları ile değerlendirmeye açıktır.

Emin değilseniz lütfen sınamaya başlamadan önce belirli bir sınama yöntemi bu ilkeyle tutarsızsa veya bu ilke tarafından ele alınmamışsa bize ulaşın. Güvenlik araştırmacılarını bu ilkeyi geliştirmeye yönelik önerileri için bizimle görüşmeye davet ediyoruz.