Proton

Proton Bug-Bounty-Programm

Die Proton Community vertraut darauf, dass unsere Dienste ihre Informationen schützen. Wir nehmen dieses Vertrauen ernst. Deshalb arbeiten wir mit der Community von Sicherheitsforscher*innen zusammen, um potenzielle Schwachstellen zu identifizieren, zu verifizieren und zu beheben.

Als Sicherheitsforscher*in kannst du dazu beitragen, die Dienste von Proton sicherer zu machen, als Sicherheits-Mitwirkende*r anerkannt zu werden und möglicherweise eine Prämie zu erhalten. Und du trägst dazu bei, ein besseres Internet zu schaffen, in dem Datenschutz der Standard ist.

Umfang und Regeln des Bug-Bounty-Programms

Bevor du eine Schwachstelle an das Proton Bug-Bounty-Programm sendest, solltest du die folgenden Dokumente lesen:

  • Unsere Richtlinie zur Offenlegung von Schwachstellen beschreibt die akzeptierten Testmethoden des Programms.

  • Unsere Safe-Harbor-Richtlinie erläutert, welche Tests und Maßnahmen von der Haftung ausgeschlossen sind, wenn du Schwachstellen an das Proton Bug Bounty Programm meldest.

Richtlinie zur Offenlegung von Schwachstellen lesen
Mehr zur Safe-Harbor-Richtlinie

Wie meldet man eine Schwachstelle?

Du kannst Schwachstellenberichte per E-Mail an security@proton.me senden. Du kannst Berichte im Klartext-, Rich-Text- oder HTML-Format einreichen.

Wenn du Proton Mail nicht verwendest, empfehlen wir dir, deine Einsendungen mit unserem öffentlichen PGP-Schlüssel zu verschlüsseln.

Voraussetzungen für Schwachstellen

Wir nehmen jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten wesentlich beeinträchtigt, in unser Bug-Bounty-Programm auf. Dies umfasst insbesondere:

Webanwendungen

  • Cross-Site-Scripting

  • Skripte mit gemischten Inhalten

  • Cross-Site-Request-Forgery

  • Authentifizierungs- oder Autorisierungsfehler

  • Serverseitige Codeausführungsfehler

  • REST API-Schwachstellen

Desktop-Anwendungen

  • Remote-Code-Ausführung über Proton-Apps

  • Preisgabe von lokalen Daten, Anmeldedaten oder Schlüsselbundinformationen

  • Authentifizierungs- und Autorisierungsschwächen

  • Unsichere Update- oder Code-Signatur-Mechanismen

  • Schwachstellen bei der lokalen Rechteausweitung

Mobile Anwendungen

  • Sicherheitsverletzung bei lokalen mobilen Daten

  • Authentifizierungs- oder Autorisierungsfehler

  • Serverseitige Codeausführungsfehler

Server

  • Privilegieneskalation

  • SMTP-Exploits (zum Beispiel offene Relais)

  • Unbefugter Shell-Zugriff

  • Unbefugter API-Zugriff

Ausschlüsse vom Geltungsbereich

Bitte beachte unsere Richtlinie zur Offenlegung von Schwachstellen.

Beurteilung von Einreichungen und Festlegung von Belohnungen

Wir schätzen und belohnen Sicherheitsforschung, die in gutem Glauben und in Übereinstimmung mit dieser Richtlinie durchgeführt wird.

Die Höhe der Prämien wird von Fall zu Fall von unserem Entscheidungsgremium bewertet, das aus Mitgliedern des Proton Sicherheits- und Engineering-Teams besteht. Dieses Gremium trifft alle endgültigen Entscheidungen über die Vergabe von Prämien und Teilnehmer müssen sich damit einverstanden erklären, diese Entscheidungen zu respektieren.

Die Schwere der Auswirkungen auf die Daten der Proton-Benutzer ist der Hauptfaktor bei der Bestimmung der Belohnungsbeträge. Die unten aufgeführten Zahlen stellen Standard-Belohnungsspannen dar. Die tatsächlichen Auszahlungen können je nach Faktoren wie den folgenden variieren:

  • Vorbedingungen: ob die Ausnutzung von zusätzlichen Anforderungen über die Schwachstelle selbst hinaus abhängt, zum Beispiel:

    • Ungewöhnliche Benutzereinstellungen – hängt von atypischen Benutzerkonfigurationen oder -einstellungen ab.
    • Nicht-Standard-Konfigurationen – erfordert, dass die Proton-Software auf eine nicht standardmäßige Weise eingerichtet ist.
    • Zuverlässigkeit des Exploits – Erfolg ist inkonsistent, zum Beispiel nicht-deterministischer Erfolg aufgrund von Race Conditions, niedrigen RCE-Erfolgsraten.
    • Lokaler Gerätestatus – erfordert erhöhte Berechtigungen, ein Gerät mit Jailbreak/Root und/oder physischen Zugriff.
    • Umgebungs- oder Netzwerkbedingungen – abhängig von seltenen oder unwahrscheinlichen externen Bedingungen.

  • Auswirkungsumfang: das Ausmaß, in dem die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Dienste beeinträchtigt werden kann.

  • Wert der Exploit-Kette: ob das Problem zu einer größeren Kette von Schwachstellen beitragen kann.

  • Ausnutzbarkeit: die Wahrscheinlichkeit, dass das Problem bei einem realen Angriff ausgenutzt werden kann.

  • Neuheit: ob das Problem neu, bereits gemeldet oder schon öffentlich ist; nur die erste gültige Einreichung ist teilnahmeberechtigt.

  • Qualität der Einreichung: muss einen reproduzierbaren Proof-of-Concept oder einen klaren Pfad, der die Auswirkungen zeigt, enthalten. Code oder Pseudocode wird dringend bevorzugt.

In Ausnahmefällen können die Belohnungen bis zum maximalen Belohnungsbetrag erhöht werden.

Prämienbeträge

  • Maximale Belohnung: 100.000 USD

  • Kritischer Schweregrad: 25.000 USD–50.000 USD

    Entdeckung einer Schwachstelle, die die vollständige, dauerhafte unbefugte Kontrolle über die Dienstumgebung ermöglicht oder die Vertraulichkeit oder Integrität der Daten aller Benutzer beeinträchtigt, ohne dass besondere Bedingungen oder ein vorheriger Zugriff erforderlich sind.

  • Hoher Schweregrad: 2.500 USD–25.000 USD

    Entdeckung einer Schwachstelle, die zu einer dauerhaften unbefugten Kontrolle über einen großen Teil der Dienstumgebung oder zu einer erheblichen Verletzung der Vertraulichkeit oder Integrität von Daten führt, die eine breite Gruppe von Benutzern betrifft – ohne dass besondere Bedingungen oder ein vorheriger Zugriff erforderlich sind – aber noch keine vollständige Kompromittierung des Dienstes darstellt.

  • Mittlerer Schweregrad: 1.000 USD–2.500 USD

    Entdeckung einer Schwachstelle, die eine unbefugte Kontrolle über einen Teil der Dienstumgebung ermöglicht oder die Integrität oder Vertraulichkeit der Benutzerdaten eines einzelnen Benutzers oder einer kleinen Gruppe beeinträchtigt. Alternativ Schwachstellen mit größeren Auswirkungen, die eine erhebliche Benutzerinteraktion oder spezifische Bedingungen erfordern, aber dennoch zur Preisgabe sensibler Daten oder Kontrollen führen.

  • Niedriger Schweregrad: fallweise, standardmäßig keine finanzielle Belohnung

    Entdeckung einer Schwachstelle mit begrenzten Auswirkungen oder unter unwahrscheinlichen Bedingungen.

Teilnahmevoraussetzungen

Erkenntnisse, die beabsichtigtes Verhalten, theoretische oder Best-Practice-Empfehlungen ohne einen konkreten Weg zur Ausnutzung beschreiben, sind nicht teilnahmeberechtigt. Der erste gültige Melder jeder qualifizierenden Schwachstelle erhält die entsprechende Auszahlung, nachdem Proton das Problem bestätigt und einen Fix bereitgestellt hat.

Hast du noch mehr Fragen

Fragen zu dieser Richtlinie können an security@proton.me gesendet werden. Proton ermutigt Sicherheitsforscher*innen, sich mit uns in Verbindung zu setzen, um Unklarheiten bezüglich eines Elements dieser Richtlinie zu beseitigen.

Bitte kontaktiere uns, wenn du dir unsicher bist, ob eine bestimmte Testmethode mit dieser Richtlinie unvereinbar ist oder nicht behandelt wird, bevor du mit dem Testen beginnst. Wir laden Sicherheitsforscher*innen auch dazu ein, sich mit Vorschlägen zur Verbesserung dieser Richtlinie an uns zu wenden.

Kontakt