Proton domovská stránka

Proton program odměn za nalezené chyby

Komunita Proton důvěřuje našim službám, že jejich informace jsou v bezpečí. Tuto důvěru bereme vážně, a proto se snažíme spolupracovat s komunitou bezpečnostních výzkumníků na identifikaci, ověřování a řešení potenciálních zranitelností.

Pokud jste bezpečnostní výzkumník, můžete pomoci zvýšit bezpečnost služeb Proton, získat uznání jako přispěvatel k bezpečnosti a případně získat odměnu. A budete se podílet na budování lepšího internetu, kde je soukromí standardem.

Rozsah a pravidla programu odměn za nalezené chyby

Před odesláním zranitelnosti do Proton programu odměn za nalezené chyby byste si měli přečíst následující dokumenty:

  • Naše zásady zveřejňování zranitelností popisují přijaté metody testování programu.

  • Naše zásady "bezpečného přístavu" vysvětlují, jaké testy a akce jsou chráněny před odpovědností, když nahlásíte zranitelnosti do Proton programu odměn za nalezené chyby.

Jak nahlásit zranitelnost?

Hlášení o zranitelnostech můžete zasílat e-mailem na adresu security@proton.me. Hlášení můžete odesílat pomocí prostého textu, formátovaného textu nebo HTML.

Pokud nepoužíváte Proton Mail, doporučujeme vám, abyste svá hlášení šifrovali pomocí našeho veřejného PGP klíče.

Kvalifikace zranitelnosti

Do působnosti našeho programu odměn za nalezené chyby bude pravděpodobně spadat jakýkoli problém týkající se návrhu nebo implementace, který významně ovlivňuje důvěrnost nebo integritu uživatelských dat. Patří sem mimo jiné:

Webové aplikace

  • Skriptování napříč stránkami

  • Skripty se smíšeným obsahem

  • Padělání požadavků napříč stránkami

  • Chyby v ověřování nebo autorizaci

  • Chyby při spouštění kódu na straně serveru

  • Zranitelnosti REST API

Desktopové aplikace

  • Vzdálené spuštění kódu prostřednictvím aplikací Proton

  • Únik místních dat, přihlašovacích údajů nebo informací z klíčenky

  • Slabiny v ověření a autorizaci

  • Nebezpečné mechanismy aktualizací nebo podepisování kódu

  • Zranitelnosti umožňující místní eskalaci oprávnění

Mobilní aplikace

  • Narušení zabezpečení místních dat v mobilních zařízeních

  • Chyby v ověřování nebo autorizaci

  • Chyby při spouštění kódu na straně serveru

Servery

  • Zvýšení oprávnění

  • Zneužití SMTP (například open relays)

  • Neoprávněný přístup k shellu

  • Neoprávněný přístup k API rozhraní

Výjimky z rozsahu

Posuzování příspěvků a určování odměn

Uznáváme a odměňujeme bezpečnostní výzkum v dobré víře prováděný v souladu s těmito zásadami.

Výše odměn je posuzována případ od případu naší rozhodčí komisí, která se skládá ze členů bezpečnostního a inženýrského týmu společnosti Proton. Tato komise činí veškerá konečná rozhodnutí týkající se odměn a účastníci musí souhlasit, že budou tato rozhodnutí respektovat.

Závažnost dopadu na data uživatelů Protonu je primárním faktorem při určování výše odměny. Níže uvedené částky představují standardní rozpětí odměn. Skutečné výplaty se mohou lišit v závislosti na faktorech, jako jsou:

  • Předpoklady: zda zneužití závisí na dalších požadavcích nad rámec samotné zranitelnosti, například:

    • Neobvyklá nastavení uživatele – spoléhá na atypické konfigurace nebo nastavení uživatele.
    • Nevýchozí konfigurace – vyžaduje, aby byl software Proton nastaven nestandardním způsobem.
    • Spolehlivost exploitu – úspěch je nekonzistentní, například nedeterministický úspěch kvůli souběhu (race conditions) nebo nízké míře úspěšnosti RCE.
    • Stav místního zařízení – vyžaduje zvýšená oprávnění, zařízení s jailbreakem/rootem a/nebo fyzický přístup.
    • Podmínky prostředí nebo sítě – závislé na vzácných nebo nepravděpodobných vnějších podmínkách.
  • Rozsah dopadu: Míra, do jaké může být ovlivněna důvěrnost, integrita nebo dostupnost našich služeb.

  • Hodnota řetězce exploitů: Zda může problém přispět k širšímu řetězci zranitelností.

  • Zneužitelnost: Pravděpodobnost, že problém může být použit při reálném útoku.

  • Novost: Zda je problém nový, dříve nahlášený nebo již veřejně známý; způsobilé je pouze první platné podání.

  • Kvalita podání: Musí obsahovat reprodukovatelný proof-of-concept nebo jasnou cestu prokazující dopad. Důrazně se upřednostňuje kód nebo pseudokód.

Ve výjimečných případech mohou být odměny zvýšeny až na maximální výši odměny.

Výše odměn

  • Maximální odměna: 100 000 USD

  • Kritická závažnost: 25 000 USD – 50 000 USD

    Objevení zranitelnosti, která umožňuje plnou trvalou neoprávněnou kontrolu nad prostředím služby nebo kompromituje důvěrnost či integritu dat všech uživatelů bez nutnosti zvláštních podmínek nebo předchozího přístupu.

  • Vysoká závažnost: 2 500 USD – 25 000 USD

    Objevení zranitelnosti, která vede k trvalé neoprávněné kontrole nad velkou částí prostředí služby nebo k významnému narušení důvěrnosti či integrity dat ovlivňujícímu širokou skupinu uživatelů – bez nutnosti zvláštních podmínek nebo předchozího přístupu – avšak nedosahující plné kompromitace služby.

  • Střední závažnost: 1 000 USD – 2 500 USD

    Objevení zranitelnosti, která umožňuje neoprávněnou kontrolu nad částí prostředí služby nebo kompromituje integritu či důvěrnost uživatelských dat jednoho uživatele nebo malé skupiny. Případně zranitelnosti s širším dopadem, které vyžadují významnou interakci uživatele nebo specifické podmínky, ale přesto vedou k odhalení citlivých dat nebo ovládacích prvků.

  • Nízká závažnost: Případ od případu, ve výchozím nastavení bez peněžní odměny

    Objevení zranitelnosti s omezeným dopadem nebo s nepravděpodobnými podmínkami.

Požadavky na způsobilost

Zjištění popisující zamýšlené chování, teoretická doporučení nebo doporučení osvědčených postupů bez konkrétní cesty ke zneužití nejsou způsobilá. První platný oznamovatel každé kvalifikované zranitelnosti obdrží odpovídající výplatu poté, co Proton potvrdí problém a implementuje opravu.

Otázky

Dotazy týkající se těchto zásad můžete zasílat na adresu security@proton.me. Společnost Proton vyzývá výzkumné pracovníky v oblasti bezpečnosti, aby se na nás obrátili s žádostí o objasnění jakéhokoli prvku těchto zásad.

Před zahájením testování nás prosím kontaktujte, pokud si nejste jisti, zda je konkrétní testovací metoda v rozporu s těmito zásadami nebo zda je jimi neupravena. Vyzýváme také výzkumníky v oblasti bezpečnosti, aby nás kontaktovali s návrhy na zlepšení těchto zásad.