Program bug bounty Proton
Komunitas Proton memercayai layanan kami untuk menjaga keamanan informasi mereka. Kepercayaan tersebut sangat dihargai, itulah sebabnya kami berkomitmen untuk bekerja sama dengan komunitas peneliti keamanan guna mengidentifikasi, memverifikasi, dan menyelesaikan potensi kerentanan.
Bagi peneliti keamanan, Anda dapat membantu membuat layanan Proton lebih aman, mendapatkan pengakuan sebagai kontributor keamanan, dan berpotensi mendapatkan hadiah. Dan Anda akan berperan dalam membangun internet yang lebih baik dengan privasi sebagai bawaan.

Cakupan dan aturan program bug bounty
Sebelum mengirimkan kerentanan ke Program Bug Bounty Proton, baca dokumen berikut:
Kebijakan pengungkapan kerentanan menjelaskan metode pengujian yang diterima dalam program.
Kebijakan safe harbor menjelaskan pengujian dan tindakan apa saja yang dilindungi dari liabilitas saat melaporkan kerentanan ke Program Bug Bounty Proton
Bagaimana cara melaporkan kerentanan?
Laporan kerentanan dapat dikirimkan melalui email di security@proton.me. Laporan dapat dikirimkan menggunakan teks biasa, teks kaya, atau HTML.
Jika tidak menggunakan Proton Mail, kiriman disarankan untuk dienkripsi menggunakan kunci publik PGP.
Kerentanan yang memenuhi syarat
Setiap isu desain atau implementasi yang memengaruhi kerahasiaan atau integritas data pengguna secara signifikan dalam cakupan program bug bounty kemungkinan besar akan dipertimbangkan. Ini termasuk, tetapi tidak terbatas pada:
Aplikasi web
Cross-site scripting
Skrip konten campuran
Cross-site request forgery
Kelemahan autentikasi atau otorisasi
Bug eksekusi kode sisi server
Kerentanan REST API
Aplikasi desktop
Eksekusi kode jarak jauh melalui aplikasi Proton
Kebocoran data lokal, kredensial, atau informasi gantungan kunci
Kelemahan autentikasi dan otorisasi
Mekanisme pembaruan atau penandatanganan kode yang tidak aman
Kerentanan peningkatan hak istimewa lokal
Aplikasi seluler
Pembobolan keamanan data lokal seluler
Kelemahan autentikasi atau otorisasi
Bug eksekusi kode sisi server
Server
Peningkatan hak istimewa
Eksploitasi SMTP (misalnya, open relay)
Akses shell tanpa izin
Akses API tanpa izin
Penilaian kiriman dan penentuan hadiah
Penelitian keamanan dengan iktikad baik yang dilakukan sesuai dengan kebijakan ini akan diakui dan diberi penghargaan.
Jumlah bounty dievaluasi berdasarkan kasus demi kasus oleh panel ajudikasi yang terdiri dari anggota tim Keamanan dan Teknik Proton. Panel ini membuat semua keputusan akhir terkait penghargaan bounty, dan peserta harus setuju untuk menghormati keputusan ini.
Tingkat keparahan dampak pada data pengguna Proton merupakan faktor utama dalam menentukan jumlah hadiah. Angka yang tercantum di bawah ini mewakili rentang hadiah standar. Pembayaran aktual dapat bervariasi berdasarkan faktor-faktor seperti:
Prasyarat: apakah eksploitasi bergantung pada persyaratan tambahan di luar kerentanan itu sendiri, misalnya:
- Pengaturan pengguna yang tidak umum – bergantung pada konfigurasi atau pengaturan pengguna yang tidak lazim.
- Konfigurasi bukan bawaan – memerlukan penyiapan perangkat lunak Proton dengan cara yang tidak standar.
- Keandalan eksploitasi – keberhasilan tidak konsisten, misalnya keberhasilan non-deterministik, karena kondisi race (race condition), tingkat keberhasilan RCE yang rendah.
- Status perangkat lokal – memerlukan hak istimewa yang ditingkatkan, perangkat yang di-jailbreak/di-root, dan/atau akses fisik.
- Kondisi lingkungan atau jaringan – bergantung pada kondisi eksternal yang jarang terjadi atau tidak mungkin terjadi.
Cakupan dampak: Sejauh mana kerahasiaan, integritas, atau ketersediaan layanan kami dapat terpengaruh.
Nilai rantai eksploitasi: Apakah isu tersebut dapat berkontribusi pada rantai kerentanan yang lebih luas.
Eksploitabilitas: Kemungkinan bahwa isu tersebut dapat digunakan dalam serangan dunia nyata.
Kebaruan: Apakah isu tersebut baru, telah dilaporkan sebelumnya, atau sudah menjadi publik; hanya pengiriman valid pertama yang memenuhi syarat.
Kualitas pengiriman: Harus menyertakan bukti konsep (proof-of-concept) yang dapat direproduksi atau jalur jelas yang menampilkan dampak. Kode atau kode semu (pseudocode) sangat disukai.
Dalam kasus luar biasa, imbalan dapat ditingkatkan hingga jumlah imbalan maksimum.
Jumlah imbalan
Imbalan maksimum: USD 100.000
Keparahan kritis: USD 25.000 - USD 50.000
Penemuan kerentanan yang memungkinkan kontrol tanpa izin secara penuh dan berkelanjutan atas lingkungan layanan, atau mengompromikan kerahasiaan atau integritas data semua pengguna tanpa memerlukan kondisi khusus atau akses sebelumnya.
Keparahan tinggi: USD 2.500 - USD 25.000
Penemuan kerentanan yang menyebabkan kontrol tanpa izin yang berkelanjutan atas sebagian besar lingkungan layanan, atau pembobolan signifikan terhadap kerahasiaan atau integritas data yang berdampak pada grup pengguna yang luas — tanpa memerlukan kondisi khusus atau akses sebelumnya — tetapi belum sampai mengompromikan layanan secara penuh.
Keparahan sedang: USD 1.000 - USD 2.500
Penemuan kerentanan yang memungkinkan kontrol tanpa izin atas sebagian lingkungan layanan, atau mengompromikan integritas atau kerahasiaan data pengguna untuk satu pengguna atau grup kecil. Sebagai alternatif, kerentanan dengan dampak lebih luas yang memerlukan interaksi pengguna yang signifikan atau kondisi spesifik, tetapi tetap menyebabkan tereksposnya data atau kontrol sensitif.
Keparahan rendah: Berdasarkan kasus per kasus, tidak ada imbalan finansial secara bawaan
Penemuan kerentanan dengan dampak terbatas atau dengan kondisi yang tidak mungkin terjadi.
Persyaratan kelayakan
Temuan yang menjelaskan perilaku yang dimaksudkan, rekomendasi teoritis atau praktik terbaik tanpa jalur konkret menuju eksploitasi tidak memenuhi syarat. Pelapor valid pertama dari setiap kerentanan yang memenuhi syarat akan menerima pembayaran terkait setelah Proton mengonfirmasi isu tersebut dan menerapkan perbaikan.
Pertanyaan
Pertanyaan mengenai kebijakan ini dapat dikirim ke security@proton.me. Proton menyarankan peneliti keamanan untuk menghubungi Proton guna mendapatkan klarifikasi mengenai poin apa pun dalam kebijakan ini.
Harap hubungi kami jika tidak yakin apakah metode pengujian tertentu tidak konsisten dengan atau tidak tercakup dalam kebijakan ini sebelum memulai pengujian. Peneliti keamanan juga dipersilakan untuk menghubungi kami guna memberikan saran peningkatan kebijakan ini.