Proton-etusivu
Viimeksi muokattu: 30. heinäkuuta 2025

Haavoittuvuuksien ilmoittamiskäytäntö

Koska olemme CERNissä tavanneiden tutkijoiden perustama yritys, uskomme vertaisarviointiin. Siksi tuemme riippumatonta tietoturvayhteisöä, joka auttaa meitä ylläpitämään järjestelmiemme turvallisuutta ja suojaamaan arkaluonteisia tietoja luvattomalta paljastumiselta. Kannustamme tietoturvatutkijoita ottamaan meihin yhteyttä ja ilmoittamaan Protonin tuotteissa havaituista mahdollisista haavoittuvuuksista.

Tämä käytäntö määrittelee:

  • Mitä järjestelmiä ja sovelluksia tämä koskee
  • Mitkä tietoturvatutkimusmenetelmät ovat sallittuja
  • Kuinka ilmoittaa mahdollisista tietoturvahaavoittuvuuksista meille
  • Filosofiamme haavoittuvuuksien paljastamisesta ja kuinka kauan pyydämme odottamaan ennen haavoittuvuuksien julkistamista

Proton lähettää kuittauksen haavoittuvuuksien ilmoittamiskäytännön mukaisista raporteista viiden (5) arkipäivän kuluessa. Vastaanotettuamme ilmoituksen pyrimme vahvistamaan sen, toteuttamaan korjaavat toimenpiteet (tarvittaessa) ja tiedottamaan tutkijoille ilmoitettujen haavoittuvuuksien käsittelystä mahdollisimman pian.

Jos pyritte vilpittömästi noudattamaan tätä käytäntöä tietoturvatutkimuksenne aikana, katsomme tutkimuksenne olevan valtuutettua Protonin lainsäädännöllisen safe harbor -käytännön mukaisesti. Teemme yhteistyötä kanssanne ymmärtääksemme ja ratkaistaksemme ongelman nopeasti, emmekä suosittele tai ryhdy oikeustoimiin teitä vastaan tutkimukseenne liittyvien toimien vuoksi.

Testausmenetelmät

Tietoturvatutkijat eivät saa:

  • Testata muita järjestelmiä kuin niitä, jotka on mainittu alla olevassa soveltamisalaosiossa
  • Paljastaa tietoja haavoittuvuudesta muuten kuin alla olevissa Haavoittuvuudesta ilmoittaminen- ja Paljastaminen-osioissa kuvatulla tavalla
  • Suorittaa tilojen tai resurssien fyysistä testausta
  • Käyttää manipulointia (social engineering)
  • Lähettää pyytämätöntä sähköpostia Protonin käyttäjille, mukaan lukien tietojenkalasteluviestit
  • Suorittaa tai yrittää suorittaa palvelunestohyökkäyksiä (DoS) tai resurssien uuvuttamishyökkäyksiä
  • Asentaa haittaohjelmistoja Protonin tai minkään ulkopuolisen tahon järjestelmiin
  • Suorittaa testejä, jotka voivat heikentää Protonin järjestelmien toimintaa tai tahallisesti haitata, häiritä tai poistaa käytöstä SEC-järjestelmiä
  • Testata ulkopuolisten tahojen sovelluksia, verkkosivustoja tai palveluita, jotka on integroitu Protonin järjestelmiin tai joissa on linkkejä niihin tai niistä
  • Poistaa, muuttaa, jakaa, säilyttää tai tuhota Protonin tietoja tai tehdä Protonin tiedoista saavuttamattomia
  • Käyttää hyväksikäyttökeinoa tietojen luvattomaan siirtämiseen, komentoriviyhteyden luomiseen, pysyvän läsnäolon luomiseen Protonin järjestelmissä tai siirtymiseen muihin Protonin järjestelmiin

Tietoturvatutkijat saavat:

  • Tarkastella tai tallentaa Protonin ei-julkisia tietoja vain siinä määrin kuin on tarpeen mahdollisen haavoittuvuuden olemassaolon dokumentoimiseksi

Tietoturvatutkijoiden on:

  • Lopetettava testaus ja ilmoitettava meille välittömästi haavoittuvuuden löytymisestä
  • Lopetettava testaus ja ilmoitettava meille välittömästi ei-julkisten tietojen paljastumisen löytymisestä
  • Poistettava kaikki tallennetut ei-julkiset tiedot haavoittuvuudesta ilmoittamisen yhteydessä

Soveltamisala

Seuraavat järjestelmät ja palvelut kuuluvat soveltamisalaan:

Proton

  • Verkkosivustomme proton.me
  • account.proton.me-verkkosovellus

Proton Calendar

  • calendar.proton.me-verkkosovellus
  • Proton Calendar -sovellukset (Android ja iOS/iPad)

Proton Drive

  • drive.proton.me-verkkosovellus
  • Proton Drive -sovellukset (Android, iOS/iPad [beeta] ja Windows)

Proton Docs

  • docs.proton.me-verkkosovellus

Proton Mail

  • mail.proton.me-verkkosovellus
  • api.protonmail.ch-verkkosovellus
  • Proton Mail -mobiilisovellukset (Android ja iOS/iPad)
  • Proton Bridge -sovellukset (GNU/Linux, macOS ja Windows)
  • Proton Scribe

Proton Pass

  • pass.proton.me-verkkosovellus
  • Proton Pass -mobiilisovellukset (Android, iOS/iPad)
  • Proton Pass -työpöytäsovellukset (Linux, macOS ja Windows)
  • Proton Pass -verkkoselainlaajennukset (Chrome ja Firefox)

Proton Authenticator

  • Proton Authenticator -mobiilisovellukset (Android, iOS/iPad)
  • Proton Authenticator -työpöytäsovellukset (Linux, macOS ja Windows)

Proton VPN

  • VPN-verkkosivustomme protonvpn.com
  • account.protonvpn.com-verkkosovellus
  • api.protonvpn.ch-verkkosovellus
  • Proton VPN -sovellukset (Android, iOS/iPad, Linux, macOS ja Windows)
  • Proton VPN -verkkoselainlaajennukset (Android TV, Apple TV, Chrome, Chromebook ja Firefox)

Proton Wallet

  • wallet.proton.me-verkkosovellus
  • Proton Wallet -sovellukset (Android, iOS)

Lumo by Proton

  • lumo.proton.me-verkkosovellus
  • Proton Lumo -sovellukset (Android, iOS)

SimpleLogin

  • simplelogin.io-verkkosivusto
  • app.simplelogin.io-verkkosovellus
  • SimpleLogin-mobiilisovellukset (Android ja iOS)
  • SimpleLogin-selainlaajennukset (Chrome, Edge, Firefox ja Safari)

Standard Notes

  • standardnotes.com-verkkosivusto
  • app.standardnotes.com-verkkosovellus
  • Standard Notes -sovellukset (Android, iOS/iPad, Linux, macOS ja Windows)

Kaikki palvelut, joita ei ole erikseen mainittu yllä, on rajattu tämän käytännön soveltamisalan ulkopuolelle. Selvyyden vuoksi tämä sisältää muun muassa seuraavat:

  • Roskapostia
  • Manipulointitekniikat (social engineering)
  • Palvelunestohyökkäykset
  • Sisällön syöttäminen (content injection) ei kuulu soveltamisalaan, ellette pysty selvästi osoittamaan sen aiheuttavan merkittävää riskiä Protonille tai sen käyttäjille
  • Skriptien suorittaminen hiekkalaatikoitujen verkkotunnusten sisällä
  • Mobiilisovellusten virheilmoitukset, joita ei voida toistaa ajan tasalla olevissa käyttöjärjestelmäversioissa tai mobiililaitteissa, jotka on julkaistu viimeisten kahden (2) kalenterivuoden aikana
  • Protonin tehtävän soveltamisalan ulkopuoliset tietoturvaongelmat
  • Viat, jotka vaativat erittäin epätodennäköisiä käyttäjän toimia
  • WordPress-viat (ilmoittakaa niistä WordPressille)
  • Viat sivustolla shop.proton.me (ilmoittakaa niistä Shopify-palveluun)
  • Viat sivustoilla proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com ja help.protonmail.com (ilmoittakaa niistä Zendeskille)
  • Viat sivustolla status.proton.me (ilmoittakaa niistä Atlassianille)
  • Konseptitodistukset (PoC), jotka vaativat fyysistä pääsyä laitteeseen
  • Vanhentuneet ohjelmistot – Eri syistä emme aina käytä uusimpia ohjelmistoversioita, mutta käytämme ohjelmistoja, joihin on asennettu kaikki korjaustiedostot
  • Vanhentuneisiin selaimiin vaikuttavat puutteet
  • Viat sivustolla partners.proton.me (ilmoittakaa niistä TUNE-palveluun)
  • Viat sivustolla localize.proton.me (ilmoittakaa niistä Discourse-palveluun)

Haavoittuvuudesta ilmoittaminen

Ilmoituksia otetaan vastaan sähköpostitse osoitteessa security@proton.me. Hyväksyttäviä viestimuotoja ovat pelkkä teksti, muotoiltu teksti ja HTML. Kannustamme teitä salaamaan viestit PGP-julkisella avaimellamme, kun ilmoitatte haavoittuvuuksista.

  • Pidämme parempina raportteja, jotka sisältävät konseptitodistuskoodin (PoC), joka osoittaa haavoittuvuuden hyväksikäytön.
  • Raporteissa on annettava yksityiskohtainen tekninen kuvaus vaiheista, joita haavoittuvuuden toistaminen edellyttää, mukaan lukien kuvaus työkaluista, joita tarvitaan haavoittuvuuden tunnistamiseen tai hyödyntämiseen.
  • Raportteihin voi liittää kuvia (esim. kuvakaappauksia) ja muita asiakirjoja. On hyödyllistä antaa liitteille kuvaavat nimet.
  • Pyydämme, että kaikki skriptit tai hyökkäyskoodit upotetaan tiedostotyyppeihin, jotka eivät ole suoritettavia.
  • Voimme käsitellä kaikkia yleisiä tiedostotyyppejä ja arkistoja, kuten zip, 7zip ja gzip.

Tutkijat voivat lähettää raportteja nimettömästi tai antaa yhteystietonsa, mukaan lukien tiedon siitä, miten ja milloin Protonin tietoturvatiimin tulisi ottaa heihin yhteyttä. Saatamme ottaa yhteyttä tutkijoihin selventääksemme lähetetyn raportin näkökohtia tai kerätäksemme muita teknisiä tietoja.

Lähettämällä raportin Protonille vakuutatte, että raportti ja mahdolliset liitteet eivät loukkaa minkään ulkopuolisen tahon immateriaalioikeuksia. Myönnätte Protonille myös ei-yksinomaisen, rojaltivapaan, maailmanlaajuisen ja ikuisen luvan käyttää, jäljentää, luoda johdannaisteoksia ja julkaista raportin ja mahdolliset liitteet.


Paljastaminen

Proton on sitoutunut korjaamaan haavoittuvuudet ajoissa. Työskentelemme ahkerasti ratkaistaksemme ongelmat, jotka vaarantavat yhteisömme. Pyydämme kaikkia tutkijoita olemaan kärsivällisiä tutkiessamme meille lähettämiänne raportteja, sillä haavoittuvuuden julkinen paljastaminen ilman helposti saatavilla olevaa korjaavaa toimenpidettä todennäköisesti lisää yhteisömme turvallisuusriskiä sen sijaan, että vähentäisi sitä.

Tämän mukaisesti edellytämme, että pidättäydytte jakamasta tietoja löydetyistä haavoittuvuuksista 120 kalenteripäivän ajan sen jälkeen, kun olette saaneet kuittauksen raporttinne vastaanottamisesta. Jos uskotte, että muille tulisi ilmoittaa haavoittuvuudesta ennen korjaavien toimenpiteiden toteuttamista, teidän on sovittava asiasta etukäteen Protonin tietoturvatiimin kanssa.

Saatamme jakaa haavoittuvuusraportteja asianomaisille toimittajille. Emme jaa tietoturvatutkijoiden nimiä tai yhteystietoja ilman nimenomaista lupaa.


Kysyttävää?

Tätä käytäntöä koskevat kysymykset voi lähettää osoitteeseen security@proton.me. Proton kannustaa tietoturvatutkijoita ottamaan meihin yhteyttä, jos jokin tämän käytännön kohta vaatii selvennystä.

Ottakaa meihin yhteyttä ennen testauksen aloittamista, jos olette epävarmoja siitä, onko tietty testimenetelmä ristiriidassa tämän käytännön kanssa tai eikö sitä ole käsitelty siinä. Pyydämme tietoturvatutkijoita myös ottamaan meihin yhteyttä, jos heillä on ehdotuksia tämän käytännön parantamiseksi.


Jos tämän sisällön englanninkielisen version ja käännetyn version välillä on ristiriitaa, englanninkielinen versio on ensisijainen.