Proton program odměn za nalezené chyby
Komunita Proton důvěřuje našim službám, že jejich informace jsou v bezpečí. Tuto důvěru bereme vážně, a proto se snažíme spolupracovat s komunitou bezpečnostních výzkumníků na identifikaci, ověřování a řešení potenciálních zranitelností.
Pokud jste bezpečnostní výzkumník, můžete pomoci zvýšit bezpečnost služeb Proton, získat uznání jako přispěvatel k bezpečnosti a případně získat odměnu. A vy se budete podílet na budování lepšího internetu, kde je soukromí standardem.
Rozsah a pravidla programu Bug bounty
Před odesláním zranitelnosti do Proton programu odměn za nalezené chyby byste si měli přečíst následující dokumenty:
Naše zásady zveřejňování zranitelností popisují přijaté metody testování programu.
Naše zásady "bezpečného přístavu" vysvětlují, jaké testy a akce jsou chráněny před odpovědností, když nahlásíte zranitelnosti do Proton programu odměn za nalezené chyby.
Jak nahlásit zranitelnost?
Hlášení o zranitelnostech můžete zasílat e-mailem na adresu security@proton.me. Hlášení můžete odesílat pomocí prostého textu, formátovaného textu nebo HTML.
Pokud nepoužíváte Proton Mail, doporučujeme vám, abyste svá hlášení šifrovali pomocí našeho veřejného PGP klíče.
Kvalifikace zranitelnosti
Pravděpodobně zvážíme jakýkoli problém s návrhem nebo implementací, který podstatně ovlivňuje důvěrnost nebo integritu uživatelských dat v rámci našeho programu Bug bounty. Patří sem mimo jiné:
Webové aplikace
Skriptování napříč stránkami
Skripty se smíšeným obsahem
Padělání požadavků napříč stránkami
Chyby v ověřování nebo autorizaci
Chyby při spouštění kódu na straně serveru
Zranitelnosti REST API
Desktopové aplikace
Vzdálené spuštění kódu prostřednictvím aplikací Proton
Únik místních dat, přihlašovacích údajů nebo informací z klíčenky
Slabiny v ověřování a autorizaci
Nezabezpečené mechanismy aktualizace nebo podepisování kódu
Zranitelnosti lokálního eskalování oprávnění
Mobilní aplikace
Narušení zabezpečení místních dat v mobilních zařízeních
Chyby v ověřování nebo autorizaci
Chyby při spouštění kódu na straně serveru
Servery
Zvýšení oprávnění
Exploity SMTP (například otevřené relays)
Neoprávněný přístup k shellu
Neoprávněný přístup k API rozhraní
Posuzování podání a určování odměn
Uznáváme a odměňujeme bezpečnostní výzkum provedený v dobré víře a v souladu s těmito zásadami.
Výši odměn posuzuje případ od případu naše rozhodčí komise, která se skládá z členů bezpečnostního a technického týmu Protonu. Tato komise přijímá všechna konečná rozhodnutí o odměnách a účastníci musí souhlasit s tím, že budou tato rozhodnutí respektovat.
Závažnost dopadu na data uživatelů Protonu je primárním faktorem při určování výše odměny. Níže uvedené částky představují standardní rozpětí odměn. Skutečné výplaty se mohou lišit na základě faktorů, jako jsou:
Předpoklady: zda zneužití závisí na dalších požadavcích kromě samotné zranitelnosti, například:
- Neobvyklá uživatelská nastavení – závisí na atypických uživatelských konfiguracích nebo nastaveních.
- Nevýchozí konfigurace – vyžaduje, aby byl software Proton nastaven nestandardním způsobem.
- Spolehlivost zneužití – úspěch je nekonzistentní, například nedeterministický úspěch kvůli souběhům (race conditions), nízká míra úspěšnosti RCE.
- Stav místního zařízení – vyžaduje zvýšená oprávnění, zařízení s jailbreakem/rootem a/nebo fyzický přístup.
- Podmínky prostředí nebo sítě – závisí na vzácných nebo nepravděpodobných vnějších podmínkách.
Rozsah dopadu: Míra, do jaké může být ovlivněna důvěrnost, integrita nebo dostupnost našich služeb.
Hodnota v řetězci zneužití: Zda může problém přispět k širšímu řetězci zranitelností.
Zneužitelnost: Pravděpodobnost, že problém může být použit při reálném útoku.
Novost: Zda je problém nový, dříve nahlášený nebo již veřejný; nárok na odměnu má pouze první platné podání.
Kvalita podání: Musí obsahovat reprodukovatelný důkaz konceptu (proof-of-concept) nebo jasnou cestu ukazující dopad. Kód nebo pseudokód je velmi preferován.
Ve výjimečných případech mohou být odměny zvýšeny až na maximální výši odměny.
Výše odměn
Maximální odměna: 100 000 USD
Kritická závažnost: 25 000 – 50 000 USD
Objevení zranitelnosti, která umožňuje plnou trvalou neoprávněnou kontrolu nad prostředím služby nebo ohrožuje důvěrnost či integritu dat všech uživatelů, aniž by vyžadovala zvláštní podmínky nebo předchozí přístup.
Vysoká závažnost: 2 500 – 25 000 USD
Objevení zranitelnosti, která vede k trvalé neoprávněné kontrole nad velkou částí prostředí služby nebo k významnému narušení důvěrnosti či integrity dat, které postihuje širokou skupinu uživatelů – bez nutnosti zvláštních podmínek nebo předchozího přístupu – ale stále nedosahuje úplného kompromitování služby.
Střední závažnost: 1 000 – 2 500 USD
Objevení zranitelnosti, která umožňuje neoprávněnou kontrolu nad částí prostředí služby nebo ohrožuje integritu či důvěrnost uživatelských dat pro jednoho uživatele nebo malou skupinu. Alternativně zranitelnosti s širším dopadem, které vyžadují významnou interakci uživatele nebo specifické podmínky, ale přesto vedou k odhalení citlivých dat nebo ovládacích prvků.
Nízká závažnost: Případ od případu, standardně bez peněžní odměny
Objevení zranitelnosti s omezeným dopadem nebo s nepravděpodobnými podmínkami.
Požadavky na způsobilost
Nálezy, které popisují zamýšlené chování, teoretická doporučení nebo doporučení osvědčených postupů bez konkrétní cesty ke zneužití, nejsou způsobilé. První platný ohlašovatel každé kvalifikované zranitelnosti obdrží odpovídající odměnu poté, co Proton problém potvrdí a nasadí opravu.
Otázky
Dotazy týkající se těchto zásad můžete zasílat na adresu security@proton.me. Společnost Proton vyzývá výzkumné pracovníky v oblasti bezpečnosti, aby se na nás obrátili s žádostí o objasnění jakéhokoli prvku těchto zásad.
Před zahájením testování nás prosím kontaktujte, pokud si nejste jisti, zda je konkrétní testovací metoda v rozporu s těmito zásadami nebo zda je jimi neupravena. Vyzýváme také výzkumníky v oblasti bezpečnosti, aby nás kontaktovali s návrhy na zlepšení těchto zásad.