Proton

Proton program odměn za nalezené chyby

Komunita Proton důvěřuje našim službám, že jejich informace jsou v bezpečí. Tuto důvěru bereme vážně, a proto se snažíme spolupracovat s komunitou bezpečnostních výzkumníků na identifikaci, ověřování a řešení potenciálních zranitelností.

Pokud jste bezpečnostní výzkumník, můžete pomoci zvýšit bezpečnost služeb Proton, získat uznání jako přispěvatel k bezpečnosti a případně získat odměnu. A budete se podílet na budování lepšího internetu, kde je soukromí standardem.

Program odměn za nalezené chyby
oblast působnosti a pravidla

Před odesláním zranitelnosti do Proton programu odměn za nalezené chyby byste si měli přečíst následující dokumenty:

  • Naše zásady zveřejňování zranitelností popisují přijaté metody testování programu.
  • Naše zásady "bezpečného přístavu" vysvětlují, jaké testy a akce jsou chráněny před odpovědností, když nahlásíte zranitelnosti do Proton programu odměn za nalezené chyby.

Níže podrobněji vysvětlujeme, které zranitelnosti jsou způsobilé pro náš program odměn za chyby a jak se posuzují.

Jak nahlásit
zranitelnost?

Hlášení o zranitelnostech můžete zasílat e-mailem na adresu security@proton.me. Hlášení můžete odesílat pomocí prostého textu, formátovaného textu nebo HTML.

Pokud nepoužíváte Proton Mail, doporučujeme vám, abyste svá hlášení šifrovali pomocí našeho veřejného PGP klíče.

Posuzování

Naše komise pro rozhodování o odměnách za chyby se skládá ze členů bezpečnostního a technického týmu společnosti Proton. Tato porota přijímá veškerá konečná rozhodnutí týkající se odměn a účastníci musí souhlasit s tím, že budou respektovat konečné rozhodnutí poroty. Porotci berou v úvahu následující faktory:

  • Závažnost podání a způsob, jakým může ovlivnit rozsah, důvěrnost, integritu nebo dostupnost našich služeb.
  • Zda je vyžadována interakce s člověkem nebo oprávnění zařízení.
  • Kvalita podání: Přednost dáváme důkazům konceptů, které obsahují kód nebo pseudokód, jasně demonstrující ohlašovanou zranitelnost.
  • Pravděpodobnost, že nahlášený scénář bude použit při zneužití.
  • Zda byl scénář již dříve oznámen nebo veřejně znám. Odměna bude udělena pouze za první předložení zranitelnosti.
  • Průmyslové standardy a osvědčené postupy v oblasti zabezpečení softwaru.

Kvalifikace zranitelnosti

Do působnosti našeho programu odměn za chyby bude pravděpodobně spadat jakýkoli problém týkající se návrhu nebo implementace, který významně ovlivňuje důvěrnost nebo integritu uživatelských dat. Patří sem mimo jiné:

Webové aplikace

  • Skriptování napříč stránkami
  • Padělání požadavků napříč stránkami
  • Skripty se smíšeným obsahem
  • Chyby v ověřování nebo autorizaci
  • Chyby při spouštění kódu na straně serveru
  • Zranitelnosti REST API

Server

  • Zneužití protokolu SMTP (otevřené relace, atd.)
  • Neoprávněný přístup k shellu
  • Neoprávněný přístup k API rozhraní
  • Zvýšení oprávnění

Mobil

  • Chyby v ověřování nebo autorizaci
  • Chyby při spouštění kódu na straně serveru
  • Narušení zabezpečení místních dat v mobilním telefonu (bez rootování)

Kvalifikace zlepšení

Někdy udělujeme odměny za návrhy, které nespadají do žádné z uvedených kategorií. To se určuje případ od případu a je zcela na uvážení naší komise pro rozhodování o odměnách za chyby. Tato vylepšení mohou zahrnovat:

  • Vylepšení konfigurace poštovního nebo webového serveru
  • Konfigurace brány firewall
  • Vylepšená ochrana proti útokům DoS a DDoS
  • Zpřístupnění cesty a informací
  • Problémy s blogem Proton Mail nebo stránkami podpory (například neopravené zranitelnosti WordPressu nebo zásuvných modulů).

Nekvalifikované zranitelnosti

  • Chyby ovlivňující zastaralé prohlížeče
  • Bezpečnostní otázky mimo rámec mise Proton Mail
  • Útoky phishingem nebo sociálním inženýrstvím
  • Chyby vyžadující mimořádně nepravděpodobné interakce uživatele
  • Chyby WordPressu (ale ty prosím nahlaste WordPressu)
  • Zastaralý software (z různých důvodů nepoužíváme vždy nejnovější verze softwaru, ale používáme plně opravený software)

Výše odměn

Odměňujeme výzkum v oblasti bezpečnosti, který se drží pravidel programu. Výši odměny, kterou vyplácíme, určuje případ od případu naše porota pro rozhodování o odměnách za chyby. Částka, kterou udělí, se do značné míry řídí závažností nahlášeného problému.

  • Maximální odměna: 10 000 USD
  • Drobné zranitelnosti serveru a webové aplikace, které neohrožují uživatelská data: 50 USD
  • Zranitelnosti s nízkou závažností, které způsobují únik osobních informací, například IP adresy: 50 USD
  • Zranitelnosti střední závažnosti, které mohou vést k vyzrazení osobních tajemství: 200 USD
  • Zranitelnosti, které mohou vést k poškození dat: 200 USD
  • Zranitelnosti, které mohou vést k vyzrazení zašifrovaných uživatelských dat: 1000+ USD

Otázky?

Dotazy týkající se těchto zásad můžete zasílat na adresu security@proton.me. Společnost Proton vyzývá výzkumné pracovníky v oblasti bezpečnosti, aby se na nás obrátili s žádostí o objasnění jakéhokoli prvku těchto zásad.

Před zahájením testování nás prosím kontaktujte, pokud si nejste jisti, zda je konkrétní testovací metoda v rozporu s těmito zásadami nebo zda je jimi neupravena. Vyzýváme také výzkumníky v oblasti bezpečnosti, aby nás kontaktovali s návrhy na zlepšení těchto zásad.

Kontaktujte nás