Politik for offentliggørelse af sårbarheder
Som en virksomhed grundlagt af forskere, der mødtes på CERN, tror vi på peer review. Derfor støtter vi det uafhængige sikkerhedsfællesskab for at hjælpe os med at opretholde sikkerheden i vores systemer og beskytte følsomme oplysninger mod uautoriseret offentliggørelse. Vi opfordrer sikkerhedsforskere til at kontakte os for at rapportere potentielle sårbarheder identificeret i Proton-produkter.
Denne politik specificerer:
- Hvilke systemer og applikationer, der er omfattet
- Hvilke typer sikkerhedsundersøgelsesmetoder, der er dækket
- Hvordan potentielle sikkerhedssårbarheder rapporteres til os
- Vores filosofi for offentliggørelse af sårbarheder, og hvor længe vi vil bede Dem om at vente, før De offentliggør sårbarheder
Proton vil bekræfte modtagelse af rapporter, der overholder politikken for offentliggørelse af sårbarheder, inden for fem (5) hverdage. Ved modtagelse bestræber vi os på at validere indsendelser, implementere korrigerende handlinger (hvis relevant) og informere forskere om status for rapporterede sårbarheder med minimal forsinkelse.
Hvis De gør en indsats i god tro for at overholde denne politik under Deres sikkerhedsundersøgelse, vil vi betragte Deres undersøgelse som autoriseret i henhold til Protons Safe Harbor-politik. Vi vil samarbejde med Dem for at forstå og løse problemet hurtigt og vil ikke anbefale eller forfølge retslige skridt mod Dem for nogen af Deres handlinger i forbindelse med Deres undersøgelse.
Testmetoder
Sikkerhedsforskere må ikke:
- Teste andre systemer end dem, der er angivet i afsnittet Omfang nedenfor
- Offentliggøre sårbarhedsoplysninger undtagen som angivet i afsnittene Rapportering af en sårbarhed og Offentliggørelse nedenfor
- Deltage i fysisk test af faciliteter eller ressourcer
- Benytte social engineering
- Sende uopfordret e-mail til Proton-brugere, herunder "phishing"-beskeder
- Udføre eller forsøge at udføre "denial of service"- eller "resource exhaustion"-angreb
- Introducere ondsindet software i Protons eller tredjeparters systemer
- Udføre test, der kan forringe driften af Proton-systemer eller bevidst svække, forstyrre eller deaktivere SEC-systemer
- Teste tredjepartsapplikationer, websteder eller tjenester, der integreres med eller linker til eller fra Proton-systemer
- Slette, ændre, dele, opbevare eller ødelægge Proton-data eller gøre Proton-data utilgængelige
- Bruge en exploit til at eksfiltrere data, etablere kommandolinjeadgang, etablere en vedvarende tilstedeværelse på Proton-systemer eller "pivotere" til andre Proton-systemer
Sikkerhedsforskere må gerne:
- Se eller lagre ikke-offentlige Proton-data, men kun i det omfang, det er nødvendigt for at dokumentere tilstedeværelsen af en potentiel sårbarhed
Sikkerhedsforskere skal:
- Indstille test og underrette os straks ved opdagelse af en sårbarhed
- Indstille test og underrette os straks ved opdagelse af en eksponering af ikke-offentlige data
- Slette alle lagrede ikke-offentlige data ved rapportering af en sårbarhed
Omfang
Følgende systemer og tjenester er omfattet:
Proton
- Vores websted, proton.me
- Web-appen account.proton.me
Proton Calendar
- Web-appen calendar.proton.me
- Proton Calendar-apps (Android og iOS/iPad)
Proton Drive
- Web-appen drive.proton.me
- Proton Drive-apps (Android, iOS/iPad [i beta] og Windows)
Proton Docs
- Web-appen docs.proton.me
Proton Mail
- Web-appen mail.proton.me
- Web-appen api.protonmail.ch
- Proton Mail-mobilapps (Android og iOS/iPad)
- Proton Bridge-apps (GNU/Linux, macOS og Windows)
- Proton Scribe
Proton Pass
- Web-appen pass.proton.me
- Proton Pass-mobilapps (Android, iOS/iPad)
- Proton Pass-desktopapps (Linux, macOS og Windows)
- Proton Pass-webudvidelser (Chrome og Firefox)
Proton Authenticator
- Proton Authenticator-mobilapps (Android, iOS/iPad)
- Proton Authenticator-desktopapps (Linux, macOS og Windows)
Proton VPN
- Vores VPN-websted, protonvpn.com
- Web-appen account.protonvpn.com
- web-appen api.protonvpn.ch
- Proton VPN-apps (Android, iOS/iPad, Linux, macOS og Windows)
- Proton VPN-webudvidelser (Android TV, Apple TV, Chrome, Chromebook og Firefox)
Proton Wallet
- Web-appen wallet.proton.me
- Proton Wallet-apps (Android, iOS)
Lumo by Proton
- Web-appen lumo.proton.me
- Proton Lumo-apps (Android, iOS)
SimpleLogin
- Webstedet simplelogin.io
- Web-appen app.simplelogin.io
- SimpleLogin-mobilapps (Android og iOS)
- SimpleLogin-browserudvidelser (Chrome, Edge, Firefox og Safari)
Standard Notes
- Webstedet standardnotes.com
- Web-appen app.standardnotes.com
- Standard Notes-apps (Android, iOS/iPad, Linux, macOS og Windows)
Alle tjenester, der ikke udtrykkeligt er angivet ovenfor, er udelukket fra denne politiks omfang. For en god ordens skyld omfatter dette, men er ikke begrænset til:
- Spam
- Social engineering-teknikker
- Denial-of-service-angreb
- Content injection er uden for omfanget, medmindre De tydeligt kan påvise en væsentlig risiko for Proton eller dets brugere
- Afvikling af scripts på sandboxede domæner
- Rapporter om nedbrud i mobilapps, der ikke kan reproduceres på opdaterede OS-versioner eller mobilenheder, der er udgivet inden for de sidste to (2) kalenderår
- Sikkerhedsproblemer uden for rammerne af Protons mission
- Fejl, der kræver yderst usandsynlige brugerinteraktioner
- WordPress-fejl (rapporter venligst disse til WordPress)
- Fejl på shop.proton.me (rapporter venligst disse til Shopify)
- Fejl på proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com og help.protonmail.com (rapporter venligst disse til Zendesk)
- Fejl på status.proton.me (rapporter venligst disse til Atlassian)
- Proof of concepts, der kræver fysisk adgang til enheden
- Forældet software – Af forskellige årsager kører vi ikke altid de nyeste softwareversioner, men vi kører software, der er fuldt opdateret (patched)
- Fejl, der påvirker forældede browsere
- Fejl på partners.proton.me (rapporter venligst disse til TUNE)
- Fejl på localize.proton.me (rapporter venligst disse til Discourse)
Rapportering af en sårbarhed
Rapporter accepteres via e-mail på security@proton.me. Acceptable beskedformater er almindelig tekst, rich text og HTML. Vi opfordrer Dem til at kryptere indsendelser ved hjælp af vores offentlige PGP-nøgle, når De indsender sårbarheder.
- Vi foretrækker rapporter, der indeholder proof-of-concept-kode, der demonstrerer en udnyttelse af sårbarheden.
- Rapporter bør indeholde en detaljeret teknisk beskrivelse af de trin, der kræves for at reproducere sårbarheden, herunder en beskrivelse af eventuelle værktøjer, der er nødvendige for at identificere eller udnytte sårbarheden.
- Billeder (f.eks. skærmbilleder) og andre dokumenter kan vedhæftes rapporter. Det er nyttigt at give vedhæftninger sigende navne.
- Vi beder om, at eventuelle scripts eller exploit-kode integreres i ikke-eksekverbare filtyper.
- Vi kan behandle alle almindelige filtyper og arkiver, herunder zip, 7zip og gzip.
Forskere kan indsende rapporter anonymt eller angive kontaktoplysninger, herunder hvordan og hvornår Proton Security-teamet skal kontakte dem. Vi kan kontakte forskere for at afklare aspekter af den indsendte rapport eller indsamle andre tekniske oplysninger.
Ved at indsende en rapport til Proton bekræfter De, at rapporten og eventuelle vedhæftninger ikke krænker tredjeparts intellektuelle ejendomsrettigheder. De giver også Proton en ikke-eksklusiv, royaltyfri, verdensomspændende, evig licens til at bruge, reproducere, skabe afledte værker og offentliggøre rapporten og eventuelle vedhæftninger.
Offentliggørelse
Proton er forpligtet til rettidig udbedring af sårbarheder. Vi vil arbejde ihærdigt på at løse eventuelle problemer, der bringer vores fællesskab i fare. Vi beder alle forskere om at have tålmodighed med os, mens vi undersøger de rapporter, De indsender til os, da offentliggørelse af en sårbarhed i mangel af en let tilgængelig korrigerende handling sandsynligvis øger snarere end mindsker vores fællesskabs sikkerhedsrisiko.
Derfor kræver vi, at De undlader at dele oplysninger om opdagede sårbarheder i 120 kalenderdage, efter at De har modtaget vores bekræftelse på modtagelsen af Deres rapport. Hvis De mener, at andre bør informeres om sårbarheden før vores implementering af korrigerende handlinger, skal De koordinere dette på forhånd med Proton Security-teamet.
Vi kan dele sårbarhedsrapporter med berørte leverandører. Vi deler ikke navne eller kontaktdata på sikkerhedsforskere, medmindre der er givet udtrykkelig tilladelse hertil.
Spørgsmål?
Spørgsmål vedrørende denne politik kan sendes til security@proton.me. Proton opfordrer sikkerhedsforskere til at kontakte os for afklaring af ethvert element i denne politik.
Kontakt os venligst, hvis De er usikker på, om en specifik testmetode er uforenelig med eller ikke behandlet af denne politik, før De påbegynder test. Vi inviterer også sikkerhedsforskere til at kontakte os med forslag til forbedring af denne politik.
I tilfælde af uoverensstemmelse mellem den engelske version af dette indhold og enhver oversat version, har den engelske version forrang.