Política de divulgación de vulnerabilidades
Última modificación: 25 de julio de 2024
Como empresa fundada por científicos que se reunieron en el CERN, creemos en la revisión por pares. Es por eso que apoyamos a la comunidad de seguridad independiente para ayudarnos a mantener la seguridad de nuestros sistemas y proteger la información confidencial contra la divulgación no autorizada. Alentamos a los investigadores de seguridad a que se comuniquen con nosotros para informar posibles vulnerabilidades identificadas en los productos Proton.
Esta política especifica:
- Cuáles sistemas y aplicaciones están dentro del alcance
- Qué tipos de métodos de investigación de seguridad están cubiertos
- Cómo informarnos de posibles vulnerabilidades de seguridad
- Nuestra filosofía de divulgación de vulnerabilidades y cuánto tiempo le pediremos que espere antes de revelarlas públicamente
Proton acusará recibo de los informes que cumplan con la política de divulgación de vulnerabilidades dentro de los cinco (5) días hábiles. Una vez recibidos, nos esforzaremos por validar los envíos, implementar acciones correctivas (si corresponde) e informar a los investigadores sobre la eliminación de las vulnerabilidades reportadas con el mínimo retraso.
Si haces un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que tu investigación está autorizada según la política legal de puerto seguro de Proton. Trabajaremos contigo para comprender y resolver el problema rápidamente y no recomendaremos ni emprenderemos acciones legales en su contra por ninguna de tus acciones relacionadas con tu investigación.
Métodos de prueba
Los investigadores de seguridad no deben:
- Probar cualquier sistema que no sean los sistemas establecidos en la sección Alcance a continuación
- Divulgar información sobre vulnerabilidades, excepto lo establecido en las secciones Informar una vulnerabilidad y Divulgación a continuación
- Participar en pruebas físicas de instalaciones o recursos
- Participar en ingeniería social
- Enviar correo electrónico no solicitado a usuarios de Proton, incluidos mensajes de "suplantación"
- Ejecutar o intentar ejecutar ataques de “denegación de servicio” o de “agotamiento de recursos”
- Introducir software malicioso en los sistemas de Proton o de cualquier tercero
- Realizar pruebas que podrían degradar el funcionamiento de los sistemas de Proton o perjudicar, interrumpir o desactivar intencionalmente los sistemas SEC
- Probar aplicaciones, sitios web o servicios de terceros que se integran o se vinculan con o desde los sistemas de Proton
- Eliminar, alterar, compartir, conservar o destruir datos de Proton, o hacer que los datos de Proton sean inaccesibles
- Usar un exploit para filtrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en los sistemas Proton o "pivotar" a otros sistemas de Proton
Los investigadores de seguridad pueden:
- Ver o almacenar datos no públicos de Proton solo en la medida necesaria para documentar la presencia de una vulnerabilidad potencial
Los investigadores de seguridad deben:
- Dejar de realizar pruebas y notificarnos inmediatamente al descubrir una vulnerabilidad
- Dejar de realizar pruebas y notificarnos inmediatamente cuando descubra una exposición de datos no públicos
- Eliminar cualquier dato no público almacenado al informar una vulnerabilidad
Alcance
Los siguientes sistemas y servicios están dentro del alcance:
- Nuestro sitio web proton.me
- La aplicación web account.proton.me
- Proton Mail
- La aplicación web mail.proton.me
- Las aplicaciones de Proton Mail para Android e iOS
- api.protonmail.ch
- Proton Drive
- La aplicación web drive.proton.me
- Las aplicaciones de Proton Drive para Windows y Android
- La aplicación de Proton Drive para iOS/iPad (en versión beta)
- Calendario de Proton
- La aplicación web calendar.proton.me
- La aplicación de Proton Calendar para iOS/iPad (en versión beta)
- SimpleLogin
- Proton VPN
- Nuestro sitio web VPN protonvpn.com
- account.protonvpn.com
- api.protonvpn.ch
- Las aplicaciones de Proton VPN para Windows, macOS, Linux, iOS/iPad y Android
- Proton Bridge para Windows, macOS y GNU/Linux
- Proton Pass
- Las aplicaciones móviles de Proton Pass (Android y iOS)
- Complementos de navegador de Proton Pass
- Proton Wallet
- La aplicación web wallet.proton.me
- Proton Scribe
Cualquier servicio que no esté explícitamente enumerado anteriormente está excluido del alcance de esta política. Para mayor claridad, esto incluye, pero no limitado a:
- Spam
- Técnicas de ingeniería social
- Ataques de denegación de servicio
- La inyección de contenido está fuera de alcance a menos que pueda demostrar claramente un riesgo significativo para Proton o sus usuarios
- Ejecutar scripts en dominios aislados
- Informes de errores de aplicaciones móviles que no se pueden reproducir en versiones actualizadas del sistema operativo o dispositivos móviles lanzados en los últimos dos (2) años calendario
- Problemas de seguridad fuera del alcance de la misión de Proton Mail
- Errores que requieren interacciones del usuario extremadamente improbables
- Errores de WordPress (repórtelos a WordPress)
- Errores en shop.proton.me (repórtelos a Shopify)
- Errores en proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com y help.protonmail.com (repórtelos a Zendesk)
- Errores en status.proton.me (repórtelos a Atlassian)
- Prueba de conceptos que requieren acceso físico al dispositivo
- Software desactualizado por diversas razones, no siempre ejecutamos las versiones de software más recientes, pero sí ejecutamos software que está completamente parcheado
- Defectos que afectan a los navegadores desactualizados
- Errores en partners.proton.me (por favor, informe de estos a TUNE)
- Errores en localize.proton.me (por favor, reportarlos a Discourse)
Informar de una vulnerabilidad
Los informes se aceptan por correo electrónico a security@proton.me. Los formatos de mensajes aceptables son texto sin formato, texto enriquecido y HTML. Le recomendamos que cifre los envíos usando nuestra clave pública PGP cuando envíe vulnerabilidades.
- Preferimos informes que incluyan código de prueba de concepto que demuestre una explotación de la vulnerabilidad.
- Los informes deben proporcionar una descripción técnica detallada de los pasos necesarios para reproducir la vulnerabilidad, incluida una descripción de cualquier herramienta necesaria para identificar o explotar la vulnerabilidad.
- Se pueden adjuntar imágenes (p. ej., capturas de pantalla) y otros documentos a los informes. Es útil dar nombres ilustrativos a los archivos adjuntos.
- Solicitamos que cualquier script o código de explotación se incruste en tipos de archivos no ejecutables.
- Podemos procesar todos los tipos de archivos y archivos comunes, incluidos zip, 7zip y gzip.
Los investigadores pueden enviar informes de forma anónima o proporcionar información de contacto, incluido cómo y cuándo el equipo de seguridad de Proton debe comunicarse con ellos. Podemos comunicarnos con investigadores para aclarar aspectos del informe presentado o recopilar otra información técnica.
Al enviar un informe a Proton, afirmas que el informe y tus archivos adjuntos no violan los derechos de propiedad intelectual de ningún tercero. También das a Proton una licencia perpetua, mundial, no exclusiva y libre de regalías para usar, reproducir, crear trabajos derivados y publicar el informe y tus archivos adjuntos.
Transparencia
Proton está comprometido con la corrección oportuna de las vulnerabilidades. Trabajaremos diligentemente para resolver cualquier problema que ponga a nuestra comunidad en riesgo. Pedimos a todos los investigadores que tengan paciencia con nosotros mientras examinamos los informes que nos envían, ya que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva disponible probablemente aumenta, en lugar de disminuir, el riesgo de seguridad de nuestra comunidad.
En consecuencia, le solicitamos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 120 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que otros deben ser informados de la vulnerabilidad antes de que implementemos acciones correctivas, debe coordinarse con anticipación con el equipo de seguridad de Proton.
Es posible que compartamos informes de vulnerabilidad con los proveedores afectados. No compartiremos los nombres ni los datos de contacto de los investigadores de seguridad a menos que se nos dé permiso explícito.
¿Tienes más preguntas?
Las preguntas sobre esta política pueden enviarse a security@proton.me. Proton anima a los investigadores de seguridad a que se pongan en contacto con nosotros para solicitar aclaraciones sobre cualquier elemento de esta política.
Comuníquete con nosotros si no estás seguro de si un método de prueba específico es inconsistente con esta política o no está abordado por esta política antes de comenzar la prueba. También invitamos a los investigadores de seguridad a contactarnos con sugerencias para mejorar esta política.