Proton

Programa de recompensas por errores de Proton

La comunidad de Proton confía en nuestros servicios para mantener segura su información. Nos tomamos en serio esa confianza, por eso nos dedicamos a trabajar con la comunidad de investigación de seguridad para identificar, verificar y resolver vulnerabilidades potenciales.

Si es un investigador de seguridad, puede ayudar a que los servicios de Proton sean más seguros, ser reconocido como colaborador de seguridad y potencialmente ganar una recompensa Y participará en la construcción de un mejor Internet donde la privacidad sea la norma.

Alcance y reglas del programa de recompensas por errores

Antes de enviar una vulnerabilidad al programa de recompensas por errores de Proton, debe leer los siguientes documentos:

  • Nuestra política de divulgación de vulnerabilidades describe los métodos de prueba aceptados por el programa.

  • Nuestra política de puerto seguro explica qué pruebas y acciones están protegidas de responsabilidad cuando informa vulnerabilidades al programa de recompensas por errores de Proton.

Leer la política de divulgación de vulnerabilidades
Más sobre la política de puerto seguro

¿Cómo informar de una vulnerabilidad?

Puede enviar informes de vulnerabilidad por correo electrónico a security@proton.me. Puede enviar informes usando texto sin formato, texto enriquecido o HTML.

Si no usa Proton Mail, le recomendamos que cifre sus envíos usando nuestra clave pública PGP.

Vulnerabilidades calificadas

Probablemente consideraremos cualquier problema de diseño o implementación que afecte sustancialmente la confidencialidad o integridad de los datos de los usuarios dentro del alcance de nuestro programa de recompensas por errores. Esto incluye, pero no se limita a:

Aplicaciones web

  • Secuencias de comandos entre sitios

  • Secuencias de comandos de contenido mixto

  • Falsificación de solicitudes entre sitios

  • Fallos de autenticación o autorización

  • Errores de ejecución de código del lado del servidor

  • Vulnerabilidades de la API REST

Aplicaciones de escritorio

  • Ejecución remota de código a través de las aplicaciones de Proton

  • Fuga de datos locales, credenciales o información del llavero de claves

  • Debilidades en la autenticación y autorización

  • Mecanismos inseguros de actualización o firma de código

  • Vulnerabilidades de escalada de privilegios locales

Aplicaciones móviles

  • Vulneraciones de seguridad de datos locales en móviles

  • Fallos de autenticación o autorización

  • Errores de ejecución de código del lado del servidor

Servidores

  • Escalada de privilegios

  • Vulnerabilidades de SMTP (por ejemplo, relés abiertos)

  • Acceso no autorizado al shell

  • Acceso no autorizado a la API

Exclusiones del alcance

Consulte nuestra política de divulgación de vulnerabilidades.

Evaluación de las propuestas y determinación de las recompensas

Reconocemos y recompensamos la investigación de seguridad de buena fe realizada de acuerdo con esta política.

Los importes de las recompensas son evaluados caso por caso por nuestro panel de adjudicación, que está formado por miembros de los equipos de seguridad e ingeniería de Proton. Este panel toma todas las decisiones finales sobre las recompensas y los participantes deben aceptar respetar estas decisiones.

La gravedad del impacto en los datos de los usuarios de Proton es el factor principal para determinar el importe de las recompensas. Las cifras que se indican a continuación representan los rangos de recompensa estándar. Los pagos reales pueden variar según factores como:

  • Precondiciones: si la explotación depende de requisitos adicionales más allá de la propia vulnerabilidad, por ejemplo:

    • Ajustes de usuario poco comunes: depende de configuraciones o ajustes de usuario atípicos.
    • Configuraciones no predeterminadas: requiere que el software de Proton se configure de una manera no estándar.
    • Fiabilidad de la explotación: el éxito es inconsistente, por ejemplo, éxito no determinista, debido a condiciones de carrera, bajas tasas de éxito de RCE.
    • Estado del dispositivo local: requiere privilegios elevados, un dispositivo con jailbreak/rooteado o acceso físico.
    • Condiciones ambientales o de red: supeditado a condiciones externas raras o poco probables.

  • Alcance del impacto: el grado en que la confidencialidad, integridad o disponibilidad de nuestros servicios pueden verse afectadas.

  • Valor de la cadena de explotación: si el problema puede contribuir a una cadena más amplia de vulnerabilidades.

  • Explotabilidad: la probabilidad de que el problema pueda usarse en un ataque en el mundo real.

  • Novedad: si el problema es nuevo, se ha informado anteriormente o ya es público; solo la primera propuesta válida es elegible.

  • Calidad de la propuesta: debe incluir una prueba de concepto reproducible o una ruta clara que demuestre el impacto. Se prefiere encarecidamente el código o pseudocódigo.

En casos excepcionales, las recompensas pueden aumentarse hasta el importe máximo de la recompensa.

Montos de recompensas

  • Recompensa máxima: 100 000 USD

  • Gravedad crítica: de 25 000 a 50 000 USD

    Descubrimiento de una vulnerabilidad que permite el control total, sostenido y no autorizado del entorno del servicio, o que compromete la confidencialidad o integridad de los datos de todos los usuarios sin requerir condiciones especiales o acceso previo.

  • Gravedad alta: de 2500 a 25 000 USD

    Descubrimiento de una vulnerabilidad que conduce al control sostenido y no autorizado de una gran parte del entorno del servicio, o a una vulneración significativa de la confidencialidad o integridad de los datos que afecta a un amplio grupo de usuarios, sin requerir condiciones especiales o acceso previo, pero que aun así no llega a comprometer por completo el servicio.

  • Gravedad media: de 1000 a 2500 USD

    Descubrimiento de una vulnerabilidad que permite el control no autorizado sobre parte del entorno del servicio, o que compromete la integridad o confidencialidad de los datos de un solo usuario o de un grupo pequeño. Alternativamente, vulnerabilidades con un impacto más amplio que requieren una interacción significativa del usuario o condiciones específicas, pero que aun así conducen a la exposición de datos o controles sensibles.

  • Gravedad baja: caso por caso, sin recompensa monetaria por defecto

    Descubrimiento de una vulnerabilidad con un impacto limitado o con condiciones poco probables.

Requisitos de elegibilidad

Los hallazgos que describen el comportamiento previsto, las recomendaciones teóricas o de buenas prácticas sin una ruta concreta hacia la explotación no son elegibles. El primer informante válido de cada vulnerabilidad que califique recibirá el pago correspondiente después de que Proton confirme el problema y despliegue una solución.

Preguntas

Las preguntas sobre esta política pueden enviarse a security@proton.me. Proton anima a los investigadores de seguridad a que se pongan en contacto con nosotros para solicitar aclaraciones sobre cualquier elemento de esta política.

Comuníquase con nosotros si no está seguro de si un método de prueba específico es inconsistente con esta política o no está abordado por esta política antes de comenzar la prueba. También invitamos a los investigadores de seguridad a contactarnos con sugerencias para mejorar esta política.

Comuníquese con nosotros