Proton

Programma bug bounty di Proton

La comunità Proton si fida dei nostri servizi per mantenere le proprie informazioni al sicuro. Prendiamo sul serio questa fiducia, motivo per cui ci impegniamo a collaborare con la comunità di ricerca sulla sicurezza per identificare, verificare e risolvere potenziali vulnerabilità.

Se sei un ricercatore nel campo della sicurezza, puoi contribuire a rendere i servizi Proton più sicuri, essere riconosciuto come collaboratore della sicurezza e potenzialmente guadagnare una ricompensa. E parteciperai alla creazione di un internet migliore in cui la privacy è l'impostazione predefinita.

Ambito e regole del programma bug bounty

Prima di segnalare una vulnerabilità al programma bug bounty di Proton, dovresti leggere i seguenti documenti:

  • La nostra politica di divulgazione delle vulnerabilità descrive i metodi di test accettati dal programma.

  • La nostra politica di approdo sicuro spiega quali test e azioni sono protetti dalla responsabilità quando segnali vulnerabilità al programma bug bounty di Proton

Leggi la politica di divulgazione delle vulnerabilità
Maggiori informazioni sulla politica di approdo sicuro

Come segnalare una vulnerabilità?

Puoi inviare report sulle vulnerabilità via email all'indirizzo security@proton.me. È possibile inviare report utilizzando testo in chiaro, testo ricco o HTML.

Se non utilizzi Proton Mail, ti invitiamo a crittografare i tuoi invii utilizzando la nostra chiave pubblica PGP.

Vulnerabilità qualificanti

Probabilmente prenderemo in considerazione qualsiasi problema di progettazione o implementazione che influenzi sostanzialmente la riservatezza oppure l'integrità dei dati degli utenti nell'ambito del nostro programma di bug bounty. Ciò include, ma non è limitato a:

Applicazioni web

  • Cross-site scripting

  • Script con contenuti misti

  • Falsificazione delle richieste intersito

  • Difetti di autenticazione o autorizzazione

  • Bug di esecuzione del codice lato server

  • Vulnerabilità dell'API REST

Applicazioni desktop

  • Esecuzione di codice in remoto tramite le app di Proton

  • Fuga di dati locali, credenziali o informazioni del portachiavi

  • Punti deboli di autenticazione e autorizzazione

  • Meccanismi di aggiornamento o di firma del codice non sicuri

  • Vulnerabilità di escalation dei privilegi locali

App per dispositivi mobili

  • Violazione della sicurezza dei dati locali su dispositivi mobili

  • Difetti di autenticazione o autorizzazione

  • Bug di esecuzione del codice lato server

Server

  • Privilege escalation

  • Exploit SMTP (ad esempio, open relay)

  • Accesso shell non autorizzato

  • Accesso API non autorizzato

Esclusioni dall'ambito

Consulta la nostra politica sulla divulgazione delle vulnerabilità.

Valutazione delle segnalazioni e determinazione delle ricompense

Riconosciamo e premiamo la ricerca sulla sicurezza condotta in buona fede in conformità con questa politica.

Gli importi delle ricompense sono valutati caso per caso dalla nostra commissione giudicatrice, composta da membri dei team di sicurezza e ingegneria di Proton. Questa commissione prende tutte le decisioni finali in merito all'assegnazione delle ricompense e i partecipanti devono accettare di rispettare tali decisioni.

La gravità dell'impatto sui dati degli utenti di Proton è il fattore principale nel determinare gli importi delle ricompense. Le cifre elencate di seguito rappresentano gli intervalli di ricompensa standard. I pagamenti effettivi possono variare in base a fattori quali:

  • Precondizioni: se l'exploit dipende da requisiti aggiuntivi oltre alla vulnerabilità stessa, ad esempio:

    • Impostazioni utente non comuni: dipende da configurazioni o impostazioni utente atipiche.
    • Configurazioni non predefinite: richiede che il software Proton sia impostato in modo non standard.
    • Affidabilità dell'exploit: il successo non è costante, ad esempio, successo non deterministico, a causa di race condition, bassi tassi di successo RCE.
    • Stato del dispositivo locale: richiede privilegi elevati, un dispositivo con jailbreak/rooting e/o accesso fisico.
    • Condizioni ambientali o di rete: dipendenti da condizioni esterne rare o improbabili.

  • Ambito dell'impatto: la misura in cui la riservatezza, l'integrità o la disponibilità dei nostri servizi possono essere compromesse.

  • Valore della catena di exploit: se il problema può contribuire a una catena di vulnerabilità più ampia.

  • Sfruttabilità: la probabilità che il problema possa essere utilizzato in un attacco nel mondo reale.

  • Novità: se il problema è nuovo, segnalato in precedenza o già pubblico; solo la prima segnalazione valida è idonea.

  • Qualità della segnalazione: deve includere una proof of concept riproducibile o un percorso chiaro che mostri l'impatto. Il codice o lo pseudocodice sono fortemente preferiti.

In casi eccezionali, le ricompense possono essere aumentate fino all'importo massimo della ricompensa.

Valori della ricompensa

  • Ricompensa massima: 100.000 USD

  • Gravità critica: da 25.000 a 50.000 USD

    Scoperta di una vulnerabilità che consente il pieno controllo non autorizzato e prolungato dell'ambiente del servizio o che compromette la riservatezza oppure l'integrità dei dati di tutti gli utenti senza richiedere condizioni speciali o accesso preventivo.

  • Gravità alta: da 2.500 a 25.000 USD

    Scoperta di una vulnerabilità che porta a un controllo non autorizzato e prolungato su un'ampia parte dell'ambiente del servizio oppure a una violazione significativa della riservatezza o dell'integrità dei dati che interessa un vasto gruppo di utenti, senza richiedere condizioni speciali o accesso preventivo, ma che non arriva a compromettere completamente il servizio.

  • Gravità media: da 1.000 a 2.500 USD

    Scoperta di una vulnerabilità che consente il controllo non autorizzato di una parte dell'ambiente del servizio oppure che compromette l'integrità o la riservatezza dei dati di un singolo utente o di un piccolo gruppo. In alternativa, vulnerabilità con un impatto più ampio che richiedono un'interazione significativa da parte dell'utente oppure condizioni specifiche, ma che portano comunque all'esposizione di dati o controlli sensibili.

  • Gravità bassa: caso per caso, nessuna ricompensa monetaria per impostazione predefinita

    Scoperta di una vulnerabilità con impatto limitato o in condizioni improbabili.

Requisiti di idoneità

Le scoperte che descrivono un comportamento previsto, raccomandazioni teoriche o contengono best practice senza un percorso concreto di sfruttamento non sono idonee. La prima persona che segnala correttamente ogni vulnerabilità idonea riceve il pagamento corrispondente dopo che Proton ha confermato il problema e implementato una correzione.

Hai altre domande

Domande riguardanti questa politica possono essere inviate a security@proton.me. Proton incoraggia i ricercatori nel campo della sicurezza a contattarci per chiarimenti su qualsiasi elemento di questa politica.

Contattaci se non sei sicuro che uno specifico metodo di test sia incoerente o non sia contemplato dalla presente politica. Invitiamo inoltre i ricercatori sulla sicurezza a contattarci con suggerimenti per migliorare questa politica.

Contattaci