Proton-hjemmeside

Protons fejldusør-program

Proton-fællesskabet stoler på, at vores tjenester holder deres oplysninger sikre. Vi tager denne tillid alvorligt, og derfor er vi dedikerede til at arbejde sammen med sikkerhedsforskningsfællesskabet for at identificere, verificere og løse potentielle sårbarheder.

Hvis du er sikkerhedsforsker, kan du hjælpe med at gøre Protons tjenester mere sikre, blive anerkendt som sikkerhedsbidragsyder og potentielt tjene en belønning. Og du vil spille en rolle i at opbygge et bedre internet, hvor privatliv er standarden.

Omfang og regler for fejldusør-programmet

Før du indsender en sårbarhed til Protons fejldusør-program, bør du læse følgende dokumenter:

  • Vores politik for offentliggørelse af sårbarheder beskriver programmets accepterede testmetoder.

  • Vores safe harbor-politik forklarer, hvilke test og handlinger der er beskyttet mod ansvar, når du rapporterer sårbarheder til Protons fejldusør-program

Hvordan rapporterer man en sårbarhed?

Du kan indsende sårbarhedsrapporter via e-mail på security@proton.me. Du kan indsende rapporter ved hjælp af klartekst, rich text eller HTML.

Hvis du ikke bruger Proton Mail, opfordrer vi dig til at kryptere dine indsendelser ved hjælp af vores offentlige PGP-nøgle.

Kvalificerende sårbarheder

Vi vil sandsynligvis overveje ethvert design- eller implementeringsproblem, der væsentligt påvirker fortroligheden eller integriteten af brugerdata inden for vores fejldusør-programs omfang. Dette omfatter, men er ikke begrænset til:

Webapplikationer

  • Cross-site scripting

  • Scripts med blandet indhold

  • Cross-site request forgery

  • Godkendelses- eller autorisationsfejl

  • Fejl i server-side kodeeksekvering

  • REST API-sårbarheder

Desktop-applikationer

  • Fjernudførelse af kode gennem Proton-apps

  • Lækage af lokale data, legitimationsoplysninger eller nøgleringsoplysninger

  • Svagheder i godkendelse og autorisation

  • Usikre opdaterings- eller kodesigneringsmekanismer

  • Sårbarheder vedrørende lokal rettighedseskalering

Mobilapplikationer

  • Sikkerhedsbrud på lokale mobildata

  • Godkendelses- eller autorisationsfejl

  • Fejl i server-side kodeeksekvering

Servere

  • Rettighedseskalering

  • SMTP-udnyttelser (f.eks. åbne relays)

  • Uautoriseret shell-adgang

  • Uautoriseret API-adgang

Undtagelser fra omfanget

Vurdering af indsendelser og fastsættelse af belønninger

Vi anerkender og belønner sikkerhedsforskning i god tro, der udføres i overensstemmelse med denne politik.

Dusørbeløb vurderes fra sag til sag af vores bedømmelsespanel, som består af medlemmer fra Protons sikkerheds- og ingeniørteams. Dette panel træffer alle endelige beslutninger vedrørende tildeling af dusører, og deltagere skal acceptere at respektere disse beslutninger.

Alvoren af indvirkningen på Proton-brugeres data er den primære faktor ved fastsættelse af belønningsbeløb. Tallene anført nedenfor repræsenterer standardintervaller for belønninger. Faktiske udbetalinger kan variere baseret på faktorer såsom:

  • Forudsætninger: hvorvidt udnyttelse afhænger af yderligere krav ud over selve sårbarheden, for eksempel:

    • Usædvanlige brugerindstillinger – afhænger af atypiske brugerkonfigurationer eller indstillinger.
    • Ikke-standard konfigurationer – kræver at Proton-software er konfigureret på en ikke-standard måde.
    • Udnyttelsens pålidelighed – succes er inkonsistent, for eksempel ikke-deterministisk succes på grund af race conditions, lave RCE-succesrater.
    • Lokal enhedstilstand – kræver forhøjede rettigheder, en jailbroken/rooted enhed og/eller fysisk adgang.
    • Miljø- eller netværksforhold – afhængig af sjældne eller usandsynlige eksterne forhold.
  • Indvirkningsomfang: I hvilket omfang fortrolighed, integritet eller tilgængelighed af vores tjenester kan blive påvirket.

  • Værdi af udnyttelseskæde: Om problemet kan bidrage til en bredere kæde af sårbarheder.

  • Udnyttelsesmulighed: Sandsynligheden for, at problemet kan bruges i et angreb i den virkelige verden.

  • Nyhedsværdi: Om problemet er nyt, tidligere rapporteret eller allerede offentligt; kun den første gyldige indsendelse er kvalificeret.

  • Kvalitet af indsendelse: Skal inkludere et reproducerbart proof-of-concept eller en klar sti, der viser indvirkningen. Kode eller pseudokode foretrækkes stærkt.

I ekstraordinære tilfælde kan belønninger øges op til det maksimale belønningsbeløb.

Belønningsbeløb

  • Maksimal belønning: 100.000 USD

  • Kritisk alvorlighedsgrad: 25.000 USD - 50.000 USD

    Opdagelse af en sårbarhed, der giver mulighed for fuld vedvarende uautoriseret kontrol over tjenestemiljøet, eller kompromitterer fortroligheden eller integriteten af alle brugeres data uden at kræve særlige betingelser eller forudgående adgang.

  • Høj alvorlighedsgrad: 2.500 USD - 25.000 USD

    Opdagelse af en sårbarhed, der fører til vedvarende uautoriseret kontrol over en stor del af tjenestemiljøet, eller et væsentligt brud på datafortrolighed eller -integritet, der påvirker en bred gruppe af brugere — uden at kræve særlige betingelser eller forudgående adgang — men stadig mindre end fuld kompromittering af tjenesten.

  • Medium alvorlighedsgrad: 1.000 USD - 2.500 USD

    Opdagelse af en sårbarhed, der tillader uautoriseret kontrol over en del af tjenestemiljøet, eller kompromitterer integriteten eller fortroligheden af brugerdata for en enkelt bruger eller en lille gruppe. Alternativt, sårbarheder med bredere indvirkning, der kræver betydelig brugerinteraktion eller specifikke betingelser, men stadig fører til eksponering af følsomme data eller kontroller.

  • Lav alvorlighedsgrad: Fra sag til sag, ingen økonomisk belønning som standard

    Opdagelse af en sårbarhed med begrænset indvirkning eller med usandsynlige betingelser.

Kvalifikationskrav

Resultater, der beskriver tilsigtet adfærd, teoretiske anbefalinger eller best-practice-anbefalinger uden en konkret sti til udnyttelse, er ikke kvalificerede. Den første gyldige indberetter af hver kvalificerende sårbarhed modtager den tilsvarende udbetaling, efter Proton bekræfter problemet og udruller en rettelse.

Spørgsmål

Spørgsmål vedrørende denne politik kan sendes til security@proton.me. Proton opfordrer sikkerhedsforskere til at kontakte os for afklaring af ethvert element i denne politik.

Kontakt os venligst, hvis du er i tvivl om, hvorvidt en specifik testmetode er uforenelig med eller ikke adresseret af denne politik, før du begynder at teste. Vi inviterer også sikkerhedsforskere til at kontakte os med forslag til forbedring af denne politik.