Proton

Zásady zveřejňování zranitelností

Naposledy upraveno: 18. listopadu 2024

Jako společnost založená vědci, kteří se setkali v CERNu, věříme ve vzájemné hodnocení. Proto podporujeme nezávislou bezpečnostní komunitu, která nám pomáhá udržovat bezpečnost našich systémů a chránit citlivé informace před neoprávněným vyzrazením. Vyzýváme bezpečnostní výzkumníky, aby nás kontaktovali a nahlásili potenciální zranitelnosti zjištěné v produktech Proton.

V těchto zásadách je uvedeno:

  • Jaké systémy a aplikace spadají do pole působnosti
  • Jaké typy metod bezpečnostního výzkumu jsou zahrnuty
  • Jak nám nahlásit potenciální zranitelnosti zabezpečení
  • Naše filozofie zveřejňování zranitelností a jak dlouho vás budeme žádat, abyste se zveřejňováním zranitelností počkali

Společnost Proton potvrdí přijetí hlášení, která jsou v souladu s pravidly pro odhalování zranitelností, do pěti (5) pracovních dnů. Po obdržení se budeme snažit předložené údaje ověřit, provést nápravná opatření (pokud to bude vhodné) a s minimálním zpožděním informovat výzkumné pracovníky o řešení nahlášených zranitelností.

Pokud se budete v dobré víře snažit dodržovat tyto zásady během bezpečnostního výzkumu, budeme váš výzkum považovat za autorizovaný podle právních zásad "bezpečného přístavu" společnosti Proton. Budeme s vámi spolupracovat, abychom problém rychle pochopili a vyřešili, a nebudeme vám doporučovat ani proti vám vést právní kroky v souvislosti s vaším výzkumem.

Metody testování

Bezpečnostní výzkumníci nesmí:

  • Testovat jakýkoli jiný systém než systémy uvedené v části Rozsah níže.
  • Zveřejnění informací o zranitelnosti s výjimkou případů uvedených v oddílech Nahlášení zranitelnosti a Zveřejnění níže.
  • Zapojení do fyzického testování zařízení nebo zdrojů
  • Zapojení do sociálního inženýrství
  • Zasílání nevyžádané elektronické pošty uživatelům Proton, včetně "phishingových" zpráv.
  • Provedení nebo pokus o provedení útoků typu "odepření služby" nebo "vyčerpání zdrojů".
  • Zavádět škodlivý software do systémů společnosti Proton nebo jakékoli třetí strany.
  • Provádět testy, které by mohly zhoršit fungování systémů Proton nebo záměrně poškodit, narušit nebo vyřadit systémy SEC.
  • Testování aplikací, webových stránek nebo služeb třetích stran, které se integrují se systémy Proton nebo na ně odkazují.
  • Mazat, měnit, sdílet, uchovávat nebo ničit data Proton nebo je znepřístupňovat.
  • Použití exploitu k exfiltraci dat, získání přístupu k příkazovému řádku, vytvoření trvalé přítomnosti v systémech Proton nebo "přesměrování" do jiných systémů Proton.

Bezpečnostní výzkumníci mohou:

  • Prohlížet nebo ukládat neveřejná data společnosti Proton pouze v rozsahu nezbytném pro zdokumentování přítomnosti potenciální zranitelnosti.

Bezpečnostní výzkumníci musí:

  • Přestat testovat a okamžitě nás informovat o objevení zranitelnosti.
  • Přestat s testováním a okamžitě nás informovat o odhalení neveřejných údajů.
  • Vymazání všech uložených neveřejných dat po nahlášení zranitelnosti.

Rozsah

V oblasti působnosti jsou následující systémy a služby:

Proton

  • Naše webová stránka proton.me
  • Webová aplikace account.proton.me

Proton Calendar

  • Webová aplikace calendar.proton.me
  • Aplikace Proton Calendar (Android a iOS/iPad)

Proton Drive

  • Webová aplikace drive.proton.me
  • Aplikace Proton Drive (Android, iOS/iPad [beta] a Windows)

Proton Mail

  • Webová aplikace mail.proton.me
  • Webová aplikace api.protonmail.ch
  • Mobilní aplikace Proton Mail (Android a iOS/iPad)
  • Aplikace Proton Bridge (GNU/Linux, macOS a Windows)
  • Proton Scribe

Proton Pass

  • Mobilní aplikace Proton Pass (Android a iOS)
  • Webová rozšíření Proton Pass (Chrome a Firefox)

Proton VPN

  • Naše webová stránka VPN, protonvpn.com
  • Webová aplikace account.protonvpn.com
  • webová aplikace api.protonvpn.ch
  • Aplikace Proton VPN (Android, iOS/iPad, Linux, macOS a Windows)
  • Webová rozšíření Proton VPN (Android TV, Apple TV, Chrome, Chromebook a Firefox)

Proton Wallet

  • Webová aplikace wallet.proton.me

SimpleLogin

  • Webová stránka simplelogin.io
  • Webová aplikace app.simplelogin.io
  • Mobilní aplikace SimpleLogin (Android a iOS)
  • Webová rozšíření SimpleLogin (Chrome, Edge, Firefox a Safari)

Standard Notes

  • Webová stránka standardnotes.com
  • Webová aplikace app.standardnotes.com
  • Aplikace Standard Notes (Android, iOS/iPad, Linux, macOS a Windows)

Veškeré služby, které nejsou výslovně uvedeny výše, jsou z rozsahu působnosti této pojistné smlouvy vyloučeny. Pro přehlednost to mimo jiné zahrnuje:

  • Spam
  • Metody sociálního inženýrství
  • Útoky typu odmítnutí služby
  • Vkládání obsahu je vyloučeno, pokud nemůžete jasně prokázat významné riziko pro Proton nebo jeho uživatele.
  • Spouštění skriptů na doménách v sandboxu
  • Hlášení o selhání mobilní aplikace, které nelze reprodukovat na aktuálních verzích operačního systému nebo mobilních zařízeních vydaných v posledních dvou (2) kalendářních letech.
  • Bezpečnostní otázky mimo rámec mise Proton Mail
  • Chyby, které vyžadují mimořádně nepravděpodobné interakce uživatele
  • Chyby WordPressu (ale ty prosím nahlaste WordPressu)
  • Chyby na shop.proton.me (nahlaste je prosím společnosti Shopify)
  • Chyby na proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com a help.protonmail.com (nahlaste je prosím na Zendesk).
  • Chyby na status.proton.me (nahlaste je prosím společnosti Atlassian)
  • Zkušební koncepty, které vyžadují fyzický přístup k zařízení
  • Zastaralý software — z různých důvodů nepoužíváme vždy nejnovější verze softwaru, ale používáme plně opravený software.
  • Chyby ovlivňující zastaralé prohlížeče
  • Chyby na partners.proton.me (nahlaste je prosím na TUNE)
  • Chyby na localize.proton.me (nahlaste je prosím na Discourse)

Nahlášení zranitelnosti

Zprávy se přijímají elektronickou poštou na adrese security@proton.me. Přijatelné formáty zpráv jsou prostý text, formátovaný text a HTML. Doporučujeme vám, abyste při odesílání zpráv o zranitelnostech šifrovali zprávy pomocí našeho veřejného PGP klíče.

  • Upřednostňujeme zprávy, které obsahují zkušební kód demonstrující zneužití zranitelnosti.
  • Zprávy by měly obsahovat podrobný technický popis kroků, potřebných k reprodukci zranitelnosti, včetně popisu všech nástrojů potřebných k identifikaci nebo zneužití zranitelnosti.
  • Ke zprávám lze připojit obrázky (např. snímky obrazovky) a další dokumenty. Je užitečné uvést ilustrativní názvy příloh.
  • Žádáme, aby všechny skripty nebo kód exploitu byly vloženy do nespustitelných typů souborů.
  • Můžeme zpracovávat všechny běžné typy souborů a archivů, včetně souborů zip, 7zip a gzip.

Výzkumníci mohou hlášení zasílat anonymně nebo mohou uvést kontaktní údaje, včetně toho, jak a kdy je má tým Proton Security kontaktovat. Můžeme kontaktovat výzkumné pracovníky, abychom objasnili některé aspekty předložené zprávy nebo získali další technické informace.

Odesláním zprávy společnosti Proton potvrzujete, že zpráva a její přílohy neporušují práva duševního vlastnictví žádné třetí strany. Společnosti Proton rovněž udělujete nevýhradní, bezplatnou, celosvětovou a trvalou licenci k používání, reprodukci, vytváření odvozených děl a publikování zprávy a všech příloh.

Zveřejnění informací

Společnost Proton se zavázala k včasné nápravě zranitelností. Budeme usilovně pracovat na vyřešení všech problémů, které ohrožují naši komunitu. Žádáme všechny výzkumníky, aby s námi měli strpení při zkoumání zpráv, které nám předkládáte, protože veřejné zveřejnění zranitelnosti při absenci snadno dostupného nápravného opatření pravděpodobně bezpečnostní riziko naší komunity spíše zvyšuje, než snižuje.

Proto požadujeme, abyste se zdrželi sdílení informací o objevených zranitelnostech po dobu 120 kalendářních dnů od obdržení našeho potvrzení o přijetí vašeho hlášení. Pokud se domníváte, že by ostatní měli být o zranitelnosti informováni předtím, než provedeme nápravná opatření, musíte to předem zkoordinovat s bezpečnostním týmem společnosti Proton.

Zprávy o zranitelnostech můžeme sdílet s dotčenými dodavateli. Jména ani kontaktní údaje bezpečnostních výzkumníků nebudeme sdílet, pokud k tomu nedostanete výslovné svolení.

Otázky?

Dotazy, týkající se těchto zásad, můžete zasílat na adresu security@proton.me. Společnost Proton vyzývá výzkumné pracovníky v oblasti bezpečnosti, aby se na nás obrátili s žádostí o objasnění jakéhokoli prvku těchto zásad.

Pokud si nejste jisti, zda konkrétní testovací metoda není v rozporu s těmito zásadami nebo zda se na ni nevztahují, kontaktujte nás prosím před zahájením testování. Vyzýváme také výzkumníky v oblasti bezpečnosti, aby nás kontaktovali s návrhy na zlepšení těchto zásad.