Richtlinie zur Offenlegung von Schwachstellen
Letzte Änderung: 25. Juli 2024
Als Unternehmen, das von Wissenschaftlern, die sich am CERN kennengelernt haben gegründet wurde, glauben wir an Peer Reviews. Deshalb unterstützen wir die unabhängige Sicherheitsgemeinschaft, die uns hilft, die Sicherheit unserer Systeme aufrechtzuerhalten und vertrauliche Informationen vor unbefugter Offenlegung zu schützen. Wir ermuntern Sicherheitsforscher, uns zu kontaktieren, um potenzielle Sicherheitsschwachstellen in Proton-Produkten zu melden.
Diese Richtlinie legt Folgendes fest:
- Welche Systeme und Anwendungen im Geltungsbereich sind
- Welche Arten von Sicherheitsforschungsmethoden abgedeckt sind
- Wie uns potenzielle Sicherheitsschwachstellen gemeldet werden können
- Unsere Philosophie zur Offenlegung von Sicherheitsschwachstellen und wie lange du warten solltest, bevor wir Sicherheitsschwachstellen öffentlich machen
Proton wird den Erhalt von Berichten, die der Offenlegungspolitik für Sicherheitsanfälligkeiten entsprechen, innerhalb von fünf (5) Geschäftstagen bestätigen. Nach dem Eingang werden wir uns bemühen, Einreichungen zu validieren, Abhilfemaßnahmen umzusetzen (falls angemessen) und die Forscher ohne unnötige Verzögerung über den Status der gemeldeten Sicherheitsschwachstellen zu informieren.
Wenn du während deiner Sicherheitsforschung in gutem Glauben versuchst, diese Richtlinie einzuhalten, betrachten wir deine Forschung gemäß der rechtlichen Safe-Harbor-Politik von Proton als autorisiert. Wir werden mit dir zusammenarbeiten, um das Problem schnell zu verstehen und zu lösen, und werden keine rechtlichen Schritte gegen dich für irgendeine deiner Handlungen im Zusammenhang mit deiner Forschung empfehlen oder einleiten.
Testmethoden
Sicherheitsforscher dürfen nicht:
- Ein System testen, das nicht in der im Folgenden aufgeführten Geltungsbereich aufgeführt ist
- Informationen über Sicherheitsschwachstellen offenlegen, es sei denn, dies erfolgt wie in den unteren Abschnitten „Sicherheitsschwachstelle melden“ und „Offenlegung“ festgelegt
- Physische Tests von Einrichtungen oder Ressourcen durchführen
- Soziale Manipulation durchführen
- Unerwünschte E-Mails an Proton-Nutzer senden, einschließlich „Phishing“-Nachrichten
- „Denial-of-Service“- oder „Ressourcenauslastung“-Angriffe durchführen oder versuchen
- Schadhafte Software in die Systeme von Proton oder Dritten einführen
- Tests durchführen, die den Betrieb von Proton-Systemen verschlechtern oder absichtlich SEC-Systeme beeinträchtigen, stören oder deaktivieren
- Drittanbieter-Anwendungen, -Websites oder -Dienste testen, die in Proton-Systeme integriert werden, oder zu oder von Proton-Systemen verlinken
- Daten von Proton löschen, ändern, teilen, aufbewahren oder zerstören oder Daten von Proton unzugänglich machen
- Ein Exploit nutzen, um Daten zu exfiltrieren, einen Zugriff über die Befehlszeile herzustellen, eine dauerhafte Präsenz auf Proton-Systemen zu etablieren oder auf andere Proton-Systeme „zu pivotieren“
Sicherheitsforscher dürfen:
- Nicht öffentliche Proton-Daten nur in dem Maße einsehen oder speichern, wie es notwendig ist, um das Vorhandensein einer potenziellen Sicherheitsschwachstelle zu dokumentieren
Sicherheitsforscher müssen:
- Die Durchführung von Tests einstellen und uns sofort bei Entdeckung einer Sicherheitsschwachstelle benachrichtigen
- Die Durchführung von Tests einstellen und uns sofort bei Entdeckung eines Zugangs zu nicht öffentlichen Daten benachrichtigen
- Nicht öffentliche Daten, die gespeichert wurden, nach Meldung einer Sicherheitsschwachstelle löschen
Geltungsbereich
Die folgenden Systeme und Dienste sind im Geltungsbereich:
- Unsere Website, proton.me
- Die webbasierte Anwendung account.proton.me
- Proton Mail
- Die webbasierte Anwendung mail.proton.me
- Proton Mail Android- und iOS-Apps
- api.protonmail.ch
- Proton Drive
- Die webbasierte Anwendung drive.proton.me
- Proton Drive Windows- und Android-Apps
- Die Proton Drive iOS/iPad-App (in Beta)
- Proton Calendar
- Die webbasierte Anwendung calendar.proton.me
- Proton Calendar iOS/iPad-App (in Beta)
- SimpleLogin
- Proton VPN
- Unsere VPN-Website, protonvpn.com
- account.protonvpn.com
- api.protonvpn.ch
- Proton VPN Windows-, macOS-, Linux-, iOS/iPad- und Android-Apps
- Proton Bridge für Windows, macOS und GNU/Linux
- Proton Pass
- Mobile Anwendungen für Proton Pass (Android und iOS)
- Proton Pass Web-Erweiterungen
- Proton Wallet
- Die webbasierte Anwendung wallet.proton.me
- Proton Scribe
Alle oben nicht ausdrücklich aufgeführten Dienste sind von dieser Richtlinie ausgeschlossen. Zur Klarheit umfasst dies insbesondere:
- In Spam verschieben
- Techniken der sozialen Manipulation
- Denial-of-Service-Angriffe
- Inhalteinschleusung ist nicht im Geltungsbereich, es sei denn, du kannst eindeutig ein erhebliches Risiko für Proton oder seine Nutzer nachweisen
- Ausführen von Skripten auf Sandbox-Domains
- Mobile App-Absturzberichte, die sich nicht auf aktuellen Betriebssystemversionen oder Mobilgeräten reproduzieren lassen, die in den letzten zwei (2) Kalenderjahren veröffentlicht wurden
- Sicherheitsprobleme außerhalb des Geltungsbereichs der Proton Mail-Mission
- Fehler, die äußerst unwahrscheinliche Benutzerinteraktionen erfordern
- WordPress-Fehler (diese bitte an WordPress melden)
- Fehler auf shop.proton.me (diese bitte an Shopify melden)
- Fehler auf proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com und help.protonmail.com (diese bitte an Zendesk melden)
- Fehler auf status.proton.me (diese bitte an Atlassian melden)
- Proof of Concepts, die physischen Zugang zum Gerät erfordern
- Veraltete Software – Aus verschiedenen Gründen führen wir nicht immer die aktuellen Softwareversionen, aber vollständig gepatchte Software aus
- Fehler, die veraltete Browser betreffen
- Fehler auf partners.proton.me (diese bitte an TUNE melden)
- Fehler auf localize.proton.me (diese bitte an Discourse melden)
Sicherheitsschwachstelle melden
Berichte werden elektronisch unter security@proton.me akzeptiert. Akzeptable Nachrichtenformate sind Klartext, Rich-Text und HTML. Wir ermuntern dich, Einreichungen mit unserem PGP-öffentlichen Schlüssel zu verschlüsseln, wenn du Sicherheitsanfälligkeiten meldest.
- Wir bevorzugen Berichte mit Proof-of-Concept-Code, der eine Ausnutzung der Sicherheitsschwachstelle demonstriert.
- Berichte sollten eine detaillierte technische Beschreibung der Schritte enthalten, die erforderlich sind, um die Sicherheitsschwachstelle zu reproduzieren. Dazu gehört auch eine Beschreibung der Werkzeuge, die benötigt werden, um die Sicherheitsschwachstelle zu identifizieren oder auszunutzen.
- Bilder (z. B. Bildschirmfotos) und andere Dokumente können Berichten beigefügt werden. Es ist hilfreich, wenn Anhänge illustrative Namen haben.
- Wir bitten darum, dass alle Skripte oder Exploit-Codes in nicht ausführbare Dateitypen eingebettet werden.
- Wir können alle gängigen Dateitypen und Archive bearbeiten, einschließlich PLZ, 7zip und gzip.
Forscher können Berichte anonym einreichen oder Kontaktdaten angeben, einschließlich der Information, wie und wann das Proton-Sicherheitsteam sie kontaktieren sollte. Wir können Forscher kontaktieren, um Aspekte des eingereichten Berichts zu klären oder weitere technische Informationen zu sammeln.
Durch die Einreichung eines Berichts an Proton bestätigst du, dass der Bericht und alle Anhänge die geistigen Eigentumsrechte Dritter nicht verletzen. Du räumst Proton außerdem eine nicht-exklusive, gebührenfreie, weltweite, zeitlich unbeschränkte Lizenz ein, um den Bericht und alle Anhänge zu verwenden, zu reproduzieren, abgeleitete Werke zu erstellen und zu veröffentlichen.
Offenlegung
Proton verpflichtet sich, Sicherheitsschwachstellen zeitnah zu beheben. Wir werden uns bemühen, alle Probleme zu lösen, die unsere Gemeinschaft gefährden. Wir bitten alle Forscher um Geduld, während wir die Berichte prüfen, die du uns zuschickst. Denn die öffentliche Offenlegung einer Sicherheitsschwachstelle in Abwesenheit einer schnell verfügbaren Abhilfemaßnahme wird wahrscheinlich das Sicherheitsrisiko unserer Gemeinschaft erhöhen, anstatt es zu verringern.
Dementsprechend verlangen wir, dass du Informationen über entdeckte Sicherheitsschwachstellen 120 Kalender Tage nach Erhalt unserer Empfangsbestätigung deines Berichts nicht teilst. Solltest du der Meinung sein, dass andere über die Sicherheitsschwachstelle informiert werden sollten, bevor wir Abhilfemaßnahmen ergreifen, musst du dich vorab mit dem Proton-Sicherheitsteam abstimmen.
Wir können Sicherheitsberichte mit betroffenen Anbietern teilen. Wir werden die Namen oder Kontaktdaten von Sicherheitsforschern nicht weitergeben, es sei denn, es liegt eine ausdrückliche Genehmigung vor.
Hast du noch mehr Fragen?
Fragen zu dieser Richtlinie können an security@proton.me gesendet werden. Proton encourages security researchers to contact us for clarification on any element of this policy.
Bitte kontaktiere uns, wenn du dir unsicher bist, ob eine bestimmte Testmethode mit dieser Richtlinie unvereinbar ist oder nicht behandelt wird, bevor du mit dem Testen beginnst. We also invite security researchers to contact us with suggestions for improving this policy.