Kebijakan pengungkapan kerentanan
Sebagai perusahaan yang didirikan oleh para ilmuwan yang bertemu di CERN, memercayai peninjauan sejawat. Itulah sebabnya, mendukung komunitas keamanan independen untuk membantu menjaga keamanan sistem dan melindungi informasi sensitif dari pengungkapan yang tidak sah. Mendorong para peneliti keamanan untuk menghubungi kami guna melaporkan potensi kerentanan yang teridentifikasi dalam produk Proton.
Kebijakan ini menentukan:
- Sistem dan aplikasi apa saja yang masuk dalam cakupan
- Jenis metode penelitian keamanan apa saja yang dicakup
- Cara melaporkan potensi kerentanan keamanan kepada kami
- Filosofi pengungkapan kerentanan dan durasi waktu tunggu yang diminta sebelum mengungkapkan kerentanan secara publik
Proton akan mengonfirmasi resi laporan yang mematuhi kebijakan pengungkapan kerentanan dalam waktu lima (5) hari kerja. Setelah resi diterima, akan diupayakan untuk memvalidasi pengiriman, menerapkan tindakan korektif (jika sesuai), dan memberi tahu peneliti mengenai disposisi kerentanan yang dilaporkan dengan penundaan minimal.
Jika melakukan upaya dengan iktikad baik untuk mematuhi kebijakan ini selama penelitian keamanan, penelitian akan dianggap sah berdasarkan kebijakan safe harbor hukum Proton. Akan bekerja sama untuk memahami dan menyelesaikan isu dengan cepat serta tidak akan merekomendasikan atau menuntut tindakan hukum atas tindakan apa pun yang terkait dengan penelitian tersebut.
Metode pengujian
Peneliti keamanan dilarang:
- Menguji sistem apa pun selain sistem yang tercantum dalam bagian Cakupan di bawah ini
- Mengungkapkan informasi kerentanan kecuali yang tercantum dalam bagian Melaporkan kerentanan dan Pengungkapan di bawah ini
- Melakukan pengujian fisik terhadap fasilitas atau sumber daya
- Melakukan rekayasa sosial
- Mengirimkan surat elektronik yang tidak diminta kepada pengguna Proton, termasuk pesan “phishing”
- Melakukan atau mencoba melakukan serangan “denial of service” atau “resource exhaustion”
- Memasukkan perangkat lunak berbahaya ke dalam sistem Proton atau pihak ketiga mana pun
- Melakukan pengujian yang dapat menurunkan pengoperasian sistem Proton atau dengan sengaja mengganggu, mengacaukan, atau menonaktifkan sistem SEC
- Menguji aplikasi, situs web, atau layanan pihak ketiga yang berintegrasi dengan atau menautkan ke atau dari sistem Proton
- Menghapus, mengubah, membagikan, menyimpan, atau memusnahkan data Proton, atau membuat data Proton tidak dapat diakses
- Menggunakan eksploitasi untuk mengeksfiltrasi data, membuat akses baris perintah, mempertahankan kehadiran yang menetap di sistem Proton, atau melakukan “pivot” ke sistem Proton lainnya
Peneliti keamanan diperbolehkan:
- Melihat atau menyimpan data nonpublik Proton hanya sejauh yang diperlukan untuk mendokumentasikan adanya potensi kerentanan
Peneliti keamanan wajib:
- Menghentikan pengujian dan segera memberi tahu kami setelah menemukan kerentanan
- Menghentikan pengujian dan segera memberi tahu kami setelah menemukan adanya paparan data nonpublik
- Menghapus data nonpublik yang tersimpan setelah melaporkan kerentanan
Cakupan
Sistem dan layanan berikut masuk dalam cakupan:
Proton
- Situs web, proton.me
- Aplikasi web account.proton.me
Proton Calendar
- Aplikasi web calendar.proton.me
- Aplikasi Proton Calendar (Android dan iOS/iPad)
Proton Drive
- Aplikasi web drive.proton.me
- Aplikasi Proton Drive (Android, iOS/iPad [dalam beta], dan Windows)
Proton Docs
- Aplikasi web docs.proton.me
Proton Mail
- Aplikasi web mail.proton.me
- Aplikasi web api.protonmail.ch
- Aplikasi seluler Proton Mail (Android dan iOS/iPad)
- Aplikasi Proton Bridge (GNU/Linux, macOS, dan Windows)
- Proton Scribe
Proton Pass
- Aplikasi web pass.proton.me
- Aplikasi seluler Proton Pass (Android, iOS/iPad)
- Aplikasi desktop Proton Pass (Linux, macOS, dan Windows)
- Ekstensi web Proton Pass (Chrome dan Firefox)
Proton Authenticator
- Aplikasi seluler Proton Authenticator (Android, iOS/iPad)
- Aplikasi desktop Proton Authenticator (Linux, macOS, dan Windows)
Proton VPN
- Situs web VPN, protonvpn.com
- Aplikasi web account.protonvpn.com
- aplikasi web api.protonvpn.ch
- Aplikasi Proton VPN (Android, iOS/iPad, Linux, macOS, dan Windows)
- Ekstensi web Proton VPN (Android TV, Apple TV, Chrome, Chromebook, dan Firefox)
Proton Wallet
- Aplikasi web wallet.proton.me
- Aplikasi Proton Wallet (Android, iOS)
Lumo by Proton
- Aplikasi web lumo.proton.me
- Aplikasi Proton Lumo (Android, iOS)
SimpleLogin
- Situs web simplelogin.io
- Aplikasi web app.simplelogin.io
- Aplikasi seluler SimpleLogin (Android dan iOS)
- Ekstensi peramban SimpleLogin (Chrome, Edge, Firefox, dan Safari)
Standard Notes
- Situs web standardnotes.com
- Aplikasi web app.standardnotes.com
- Aplikasi Standard Notes (Android, iOS/iPad, Linux, macOS, dan Windows)
Layanan apa pun yang tidak tercantum secara eksplisit di atas dikecualikan dari cakupan kebijakan ini. Untuk kejelasan, ini mencakup, tetapi tidak terbatas pada:
- Spam
- Teknik rekayasa sosial
- Serangan denial-of-service
- Injeksi konten berada di luar cakupan kecuali dapat menunjukkan dengan jelas risiko signifikan bagi Proton atau penggunanya
- Mengeksekusi skrip pada domain sandbox
- Laporan kerusakan aplikasi seluler yang tidak dapat direproduksi pada versi SO terbaru atau perangkat seluler yang dirilis dalam dua (2) tahun kalender terakhir
- Isu keamanan di luar cakupan misi Proton
- Bug yang memerlukan interaksi pengguna yang sangat tidak mungkin terjadi
- Bug WordPress (silakan laporkan ke WordPress)
- Bug pada shop.proton.me (silakan laporkan ke Shopify)
- Bug pada proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com, dan help.protonmail.com (silakan laporkan ke Zendesk)
- Bug pada status.proton.me (silakan laporkan ke Atlassian)
- Proof of concept yang memerlukan akses fisik ke perangkat
- Perangkat lunak usang — Karena berbagai alasan, versi perangkat lunak terbaru tidak selalu dijalankan, tetapi perangkat lunak yang dijalankan sepenuhnya telah ditambal
- Cacat yang memengaruhi peramban usang
- Bug pada partners.proton.me (silakan laporkan ke TUNE)
- Bug di localize.proton.me (harap laporkan ke Discourse)
Melaporkan kerentanan
Laporan diterima melalui surat elektronik di security@proton.me. Format pesan yang dapat diterima adalah teks biasa, teks kaya, dan HTML. Sangat disarankan untuk mengenkripsi kiriman menggunakan kunci publik PGP saat melaporkan kerentanan.
- Laporan yang menyertakan kode bukti konsep (proof-of-concept) yang menunjukkan eksploitasi kerentanan lebih diutamakan.
- Laporan harus memberikan deskripsi teknis terperinci mengenai langkah-langkah yang diperlukan untuk mereproduksi kerentanan, termasuk deskripsi alat apa pun yang diperlukan untuk mengidentifikasi atau mengeksploitasi kerentanan tersebut.
- Gambar (misalnya tangkapan layar) dan dokumen lainnya dapat dilampirkan pada laporan. Sangat membantu jika memberikan nama yang ilustratif pada lampiran.
- Dimohon agar skrip atau kode eksploitasi apa pun disematkan ke dalam jenis file yang tidak dapat dieksekusi.
- Semua jenis file dan arsip umum dapat diproses, termasuk zip, 7zip, dan gzip.
Peneliti dapat mengirimkan laporan secara anonim atau memberikan informasi kontak, termasuk bagaimana dan kapan tim Keamanan Proton harus menghubungi mereka. Peneliti mungkin akan dihubungi untuk mengklarifikasi aspek dari laporan yang dikirimkan atau mengumpulkan informasi teknis lainnya.
Dengan mengirimkan laporan ke Proton, Anda menegaskan bahwa laporan dan lampiran apa pun tidak melanggar hak kekayaan intelektual pihak ketiga mana pun. Anda juga memberikan lisensi non-eksklusif, bebas royalti, di seluruh dunia, dan abadi kepada Proton untuk menggunakan, mereproduksi, membuat karya turunan, dan mempublikasikan laporan serta lampiran apa pun.
Pengungkapan
Proton berkomitmen untuk memperbaiki kerentanan secara tepat waktu. Langkah-langkah penanganan akan dilakukan dengan sungguh-sungguh untuk menyelesaikan isu apa pun yang membahayakan komunitas. Harap bersabar selama proses pemeriksaan laporan yang dikirimkan, karena pengungkapan kerentanan kepada publik tanpa adanya tindakan perbaikan yang siap sedia justru berpotensi meningkatkan, bukan mengurangi, risiko keamanan komunitas.
Oleh karena itu, diwajibkan untuk tidak membagikan informasi mengenai kerentanan yang ditemukan selama 120 hari kalender setelah menerima konfirmasi penerimaan laporan. Jika pihak lain perlu diberi tahu mengenai kerentanan sebelum penerapan tindakan perbaikan, koordinasi harus dilakukan terlebih dahulu dengan tim Keamanan Proton.
Laporan kerentanan dapat dibagikan kepada vendor yang terdampak. Nama atau data kontak peneliti keamanan tidak akan dibagikan kecuali atas izin eksplisit.
Pertanyaan?
Pertanyaan mengenai kebijakan ini dapat dikirim ke security@proton.me. Proton menyarankan peneliti keamanan untuk menghubungi Proton guna mendapatkan klarifikasi mengenai poin apa pun dalam kebijakan ini.
Harap hubungi kami jika ragu apakah metode pengujian tertentu tidak konsisten dengan atau belum diatur dalam kebijakan ini sebelum memulai pengujian. Peneliti keamanan juga dipersilakan untuk menghubungi kami guna memberikan saran peningkatan kebijakan ini.
Jika terjadi ketidaksesuaian antara versi bahasa Inggris dari konten ini dan versi terjemahannya, versi bahasa Inggris yang akan berlaku.