Proton-etusivu

Protonin vikapalkkiojärjestelmä

Proton-yhteisö luottaa siihen, että palvelumme pitävät heidän tietonsa turvassa. Otamme tämän luottamuksen vakavasti, ja siksi olemme omistautuneet työskentelemään tietoturvatutkimusyhteisön kanssa mahdollisten haavoittuvuuksien tunnistamiseksi, vahvistamiseksi ja ratkaisemiseksi.

Jos olette tietoturvatutkija, voitte auttaa tekemään Protonin palveluista turvallisempia, saada tunnustusta työstänne tietoturvan parissa ja mahdollisesti ansaita palkkion. Olette myös mukana rakentamassa parempaa internetiä, jossa yksityisyys on oletus.

Vikapalkkiojärjestelmän laajuus ja säännöt

Ennen kuin ilmoitatte haavoittuvuudesta Protonin vikapalkkiojärjestelmään, teidän tulisi lukea seuraavat asiakirjat:

  • Haavoittuvuuksien ilmoittamiskäytäntömme kuvaa ohjelman hyväksytyt testausmenetelmät.

  • Safe harbor -käytäntömme selittää, mitkä testit ja toimet ovat suojassa oikeudelliselta vastuulta, kun ilmoitatte haavoittuvuuksista Protonin vikapalkkiojärjestelmään

Kuinka ilmoittaa haavoittuvuudesta?

Voitte lähettää haavoittuvuusraportit sähköpostitse osoitteeseen security@proton.me. Voitte lähettää raportteja pelkkänä tekstinä, muotoiltuna tekstinä tai HTML-muodossa.

Jos ette käytä Proton Mailia, suosittelemme, että salaatte ilmoituksenne käyttämällä julkista PGP-avaintamme.

Hyväksyttävät haavoittuvuudet

Otamme todennäköisesti huomioon kaikki suunnittelu- tai toteutusongelmat, jotka vaikuttavat olennaisesti käyttäjätietojen luottamuksellisuuteen tai eheyteen vikapalkkiojärjestelmämme laajuudessa. Näitä ovat muun muassa:

Verkkosovellukset

  • Cross-site scripting (XSS)

  • Sekasisältöiset skriptit

  • Cross-site request forgery (CSRF)

  • Tunnistautumis- tai valtuutusvirheet

  • Palvelinpuolen koodin suoritusviat

  • REST API -haavoittuvuudet

Työpöytäsovellukset

  • Etäkoodin suoritus Proton-sovellusten kautta

  • Paikallisten tietojen, kirjautumistietojen tai avainnipun tietojen vuotaminen

  • Tunnistautumisen ja valtuutuksen heikkoudet

  • Turvattomat päivitys- tai koodin allekirjoitusmekanismit

  • Paikalliset käyttöoikeuksien korotushaavoittuvuudet

Mobiilisovellukset

  • Mobiililaitteen paikallinen tietoturvamurto

  • Tunnistautumis- tai valtuutusvirheet

  • Palvelinpuolen koodin suoritusviat

Palvelimet

  • Käyttöoikeuksien korotus

  • SMTP-hyödyntämiskeinot (esimerkiksi avoimet välityspalvelimet)

  • Luvaton Shell-käyttö

  • Luvaton API-käyttö

Ilmoitusten arviointi ja palkkioiden määrittäminen

Tunnustamme ja palkitsemme vilpittömässä mielessä tehdyn tietoturvatutkimuksen, joka on suoritettu tämän käytännön mukaisesti.

Palkkiosummat arvioidaan tapauskohtaisesti arviointiraadissamme, joka koostuu Protonin turvallisuus- ja insinööritiimien jäsenistä. Tämä raati tekee kaikki lopulliset päätökset palkkioista, ja osallistujien on sitouduttava kunnioittamaan näitä päätöksiä.

Vaikutuksen vakavuus Protonin käyttäjien tietoihin on ensisijainen tekijä palkkiosummien määrittämisessä. Alla luetellut luvut edustavat tavanomaisia palkkiohaarukoita. Todelliset maksut voivat vaihdella esimerkiksi seuraavien tekijöiden perusteella:

  • Ennakkoehdot: riippuuko hyödyntäminen haavoittuvuuden lisäksi muista vaatimuksista, esimerkiksi:

    • Epätavalliset käyttäjäasetukset – nojautuu epätyypillisiin käyttäjän määrityksiin tai asetuksiin.
    • Ei-oletusarvoiset määritykset – vaatii, että Proton-ohjelmisto on määritetty epätyypillisellä tavalla.
    • Hyödyntämisen luotettavuus – onnistuminen on epäjohdonmukaista, esimerkiksi ei-deterministinen onnistuminen kilpailutilanteiden tai alhaisten RCE-onnistumisprosenttien vuoksi.
    • Paikallisen laitteen tila – vaatii korotetut käyttöoikeudet, jailbreakatun/rootatun laitteen ja/tai fyysisen pääsyn.
    • Ympäristö- tai verkko-olosuhteet – riippuu harvinaisista tai epätodennäköisistä ulkoisista olosuhteista.
  • Vaikutusalue: Missä määrin palveluidemme luottamuksellisuus, eheys tai saatavuus voivat kärsiä.

  • Hyödyntämisketjun arvo: Voiko ongelma myötävaikuttaa laajempaan haavoittuvuusketjuun.

  • Hyödynnettävyys: Todennäköisyys sille, että ongelmaa voidaan käyttää todellisessa hyökkäyksessä.

  • Uutuus: Onko ongelma uusi, aiemmin ilmoitettu tai jo julkinen; vain ensimmäinen pätevä ilmoitus on hyväksyttävä.

  • Ilmoituksen laatu: Tulee sisältää toistettavissa oleva proof-of-concept tai selkeä polku, joka osoittaa vaikutuksen. Koodi tai pseudokoodi on erittäin suositeltavaa.

Poikkeustapauksissa palkkioita voidaan korottaa enimmäispalkkioon asti.

Palkkiosummat

  • Enimmäispalkkio: 100 000 USD

  • Kriittinen vakavuus: 25 000 USD – 50 000 USD

    Sellaisen haavoittuvuuden löytäminen, joka mahdollistaa palveluympäristön täydellisen ja jatkuvan luvattoman hallinnan tai altistaa kaikkien käyttäjien tietojen luottamuksellisuuden tai eheyden ilman erityisehtoja tai aiempaa pääsyä.

  • Korkea vakavuus: 2 500 USD – 25 000 USD

    Sellaisen haavoittuvuuden löytäminen, joka johtaa laajan palveluympäristön osan jatkuvaan luvattomaan hallintaan tai merkittävään tietojen luottamuksellisuuden tai eheyden murtoon, joka vaikuttaa laajaan käyttäjäryhmään – ilman erityisehtoja tai aiempaa pääsyä – mutta ei kuitenkaan johda palvelun täydelliseen vaarantumiseen.

  • Keskitason vakavuus: 1 000 USD – 2 500 USD

    Sellaisen haavoittuvuuden löytäminen, joka mahdollistaa palveluympäristön osan luvattoman hallinnan tai altistaa yksittäisen käyttäjän tai pienen ryhmän käyttäjätietojen eheyden tai luottamuksellisuuden. Vaihtoehtoisesti haavoittuvuudet, joilla on laajempi vaikutus ja jotka vaativat merkittävää käyttäjän toimintaa tai erityisiä olosuhteita, mutta johtavat silti arkaluonteisten tietojen tai hallintakeinojen paljastumiseen.

  • Matala vakavuus: Tapauskohtainen, oletuksena ei rahallista palkkiota

    Sellaisen haavoittuvuuden löytäminen, jolla on rajallinen vaikutus tai epätodennäköiset olosuhteet.

Kelpoisuusvaatimukset

Havainnot, jotka kuvaavat tarkoitettua toimintaa, teoreettisia tai parhaisiin käytäntöihin perustuvia suosituksia ilman konkreettista polkua hyödyntämiseen, eivät ole tukikelpoisia. Kunkin hyväksyttävän haavoittuvuuden ensimmäinen pätevä ilmoittaja saa vastaavan maksun sen jälkeen, kun Proton vahvistaa ongelman ja julkaisee korjauksen.

Kysymykset

Tätä käytäntöä koskevat kysymykset voi lähettää osoitteeseen security@proton.me. Proton kannustaa tietoturvatutkijoita ottamaan meihin yhteyttä, jos jokin tämän käytännön kohta vaatii selvennystä.

Ottakaa meihin yhteyttä ennen testauksen aloittamista, jos olette epävarma siitä, onko tietty testimenetelmä ristiriidassa tämän käytännön kanssa tai eikö sitä ole käsitelty siinä. Pyydämme tietoturvatutkijoita myös ottamaan meihin yhteyttä, jos heillä on ehdotuksia tämän käytännön parantamiseksi.