Proton program odměn za nalezené chyby
Komunita Proton důvěřuje našim službám, že jejich informace jsou v bezpečí. Tuto důvěru bereme vážně, a proto se snažíme spolupracovat s komunitou bezpečnostních výzkumníků na identifikaci, ověřování a řešení potenciálních zranitelností.
Pokud jste bezpečnostní výzkumník, můžete pomoci zvýšit bezpečnost služeb Proton, získat uznání jako přispěvatel k bezpečnosti a případně získat odměnu. A budete se podílet na budování lepšího internetu, kde je soukromí standardem.

Rozsah a pravidla programu odměn za nalezené chyby
Před odesláním zranitelnosti do Proton programu odměn za nalezené chyby byste si měli přečíst následující dokumenty:
Naše zásady zveřejňování zranitelností popisují přijaté metody testování programu.
Naše zásady "bezpečného přístavu" vysvětlují, jaké testy a akce jsou chráněny před odpovědností, když nahlásíte zranitelnosti do Proton programu odměn za nalezené chyby.
Jak nahlásit zranitelnost?
Hlášení o zranitelnostech můžete zasílat e-mailem na adresu security@proton.me. Hlášení můžete odesílat pomocí prostého textu, formátovaného textu nebo HTML.
Pokud nepoužíváte Proton Mail, doporučujeme vám, abyste svá hlášení šifrovali pomocí našeho veřejného PGP klíče.
Kvalifikace zranitelnosti
Do působnosti našeho programu odměn za nalezené chyby bude pravděpodobně spadat jakýkoli problém týkající se návrhu nebo implementace, který významně ovlivňuje důvěrnost nebo integritu uživatelských dat. Patří sem mimo jiné:
Webové aplikace
Skriptování napříč stránkami
Skripty se smíšeným obsahem
Padělání požadavků napříč stránkami
Chyby v ověřování nebo autorizaci
Chyby při spouštění kódu na straně serveru
Zranitelnosti REST API
Desktopové aplikace
Vzdálené spuštění kódu prostřednictvím aplikací Proton
Únik místních dat, přihlašovacích údajů nebo informací z klíčenky
Slabiny v ověření a autorizaci
Nebezpečné mechanismy aktualizací nebo podepisování kódu
Zranitelnosti umožňující místní eskalaci oprávnění
Mobilní aplikace
Narušení zabezpečení místních dat v mobilních zařízeních
Chyby v ověřování nebo autorizaci
Chyby při spouštění kódu na straně serveru
Servery
Zvýšení oprávnění
Zneužití SMTP (například open relays)
Neoprávněný přístup k shellu
Neoprávněný přístup k API rozhraní
Posuzování příspěvků a určování odměn
Uznáváme a odměňujeme bezpečnostní výzkum v dobré víře prováděný v souladu s těmito zásadami.
Výše odměn je posuzována případ od případu naší rozhodčí komisí, která se skládá ze členů bezpečnostního a inženýrského týmu společnosti Proton. Tato komise činí veškerá konečná rozhodnutí týkající se odměn a účastníci musí souhlasit, že budou tato rozhodnutí respektovat.
Závažnost dopadu na data uživatelů Protonu je primárním faktorem při určování výše odměny. Níže uvedené částky představují standardní rozpětí odměn. Skutečné výplaty se mohou lišit v závislosti na faktorech, jako jsou:
Předpoklady: zda zneužití závisí na dalších požadavcích nad rámec samotné zranitelnosti, například:
- Neobvyklá nastavení uživatele – spoléhá na atypické konfigurace nebo nastavení uživatele.
- Nevýchozí konfigurace – vyžaduje, aby byl software Proton nastaven nestandardním způsobem.
- Spolehlivost exploitu – úspěch je nekonzistentní, například nedeterministický úspěch kvůli souběhu (race conditions) nebo nízké míře úspěšnosti RCE.
- Stav místního zařízení – vyžaduje zvýšená oprávnění, zařízení s jailbreakem/rootem a/nebo fyzický přístup.
- Podmínky prostředí nebo sítě – závislé na vzácných nebo nepravděpodobných vnějších podmínkách.
Rozsah dopadu: Míra, do jaké může být ovlivněna důvěrnost, integrita nebo dostupnost našich služeb.
Hodnota řetězce exploitů: Zda může problém přispět k širšímu řetězci zranitelností.
Zneužitelnost: Pravděpodobnost, že problém může být použit při reálném útoku.
Novost: Zda je problém nový, dříve nahlášený nebo již veřejně známý; způsobilé je pouze první platné podání.
Kvalita podání: Musí obsahovat reprodukovatelný proof-of-concept nebo jasnou cestu prokazující dopad. Důrazně se upřednostňuje kód nebo pseudokód.
Ve výjimečných případech mohou být odměny zvýšeny až na maximální výši odměny.
Výše odměn
Maximální odměna: 100 000 USD
Kritická závažnost: 25 000 USD – 50 000 USD
Objevení zranitelnosti, která umožňuje plnou trvalou neoprávněnou kontrolu nad prostředím služby nebo kompromituje důvěrnost či integritu dat všech uživatelů bez nutnosti zvláštních podmínek nebo předchozího přístupu.
Vysoká závažnost: 2 500 USD – 25 000 USD
Objevení zranitelnosti, která vede k trvalé neoprávněné kontrole nad velkou částí prostředí služby nebo k významnému narušení důvěrnosti či integrity dat ovlivňujícímu širokou skupinu uživatelů – bez nutnosti zvláštních podmínek nebo předchozího přístupu – avšak nedosahující plné kompromitace služby.
Střední závažnost: 1 000 USD – 2 500 USD
Objevení zranitelnosti, která umožňuje neoprávněnou kontrolu nad částí prostředí služby nebo kompromituje integritu či důvěrnost uživatelských dat jednoho uživatele nebo malé skupiny. Případně zranitelnosti s širším dopadem, které vyžadují významnou interakci uživatele nebo specifické podmínky, ale přesto vedou k odhalení citlivých dat nebo ovládacích prvků.
Nízká závažnost: Případ od případu, ve výchozím nastavení bez peněžní odměny
Objevení zranitelnosti s omezeným dopadem nebo s nepravděpodobnými podmínkami.
Požadavky na způsobilost
Zjištění popisující zamýšlené chování, teoretická doporučení nebo doporučení osvědčených postupů bez konkrétní cesty ke zneužití nejsou způsobilá. První platný oznamovatel každé kvalifikované zranitelnosti obdrží odpovídající výplatu poté, co Proton potvrdí problém a implementuje opravu.
Otázky
Dotazy týkající se těchto zásad můžete zasílat na adresu security@proton.me. Společnost Proton vyzývá výzkumné pracovníky v oblasti bezpečnosti, aby se na nás obrátili s žádostí o objasnění jakéhokoli prvku těchto zásad.
Před zahájením testování nás prosím kontaktujte, pokud si nejste jisti, zda je konkrétní testovací metoda v rozporu s těmito zásadami nebo zda je jimi neupravena. Vyzýváme také výzkumníky v oblasti bezpečnosti, aby nás kontaktovali s návrhy na zlepšení těchto zásad.