Proton

Politica di divulgazione delle vulnerabilità

Ultima modifica: 25 luglio 2024

Essendo un'azienda fondata da scienziati che si sono incontrati al CERN, crediamo nella revisione tra pari. Ecco perché supportiamo la comunità di sicurezza indipendente per aiutarci a mantenere sicuri i nostri sistemi e proteggere le informazioni sensibili dalla divulgazione non autorizzata. Incoraggiamo i ricercatori sulla sicurezza a contattarci per segnalare potenziali vulnerabilità identificate nei prodotti Proton.

Questa politica specifica:

  • Quali sistemi e applicazioni rientrano nell'ambito
  • Quali tipi di metodi di ricerca sulla sicurezza sono coperti
  • Come segnalarci potenziali falle di sicurezza
  • La nostra filosofia di divulgazione delle vulnerabilità e quanto tempo ti chiederemo di attendere prima di rivelare pubblicamente le vulnerabilità

Proton confermerà la ricezione dei rapporti che rispettano la politica di divulgazione delle vulnerabilità entro cinque (5) giorni lavorativi. Una volta ricevuti, faremo il possibile per convalidare le sottomissioni, attuare azioni correttive (se appropriato) e informare i ricercatori sulle sorti delle vulnerabilità segnalate nel minor tempo possibile.

Se fai uno sforzo di buona fede per rispettare questa politica durante la tua ricerca sulla sicurezza, considereremo la tua ricerca come autorizzata secondo la politica del safe harbor legale di Proton. Lavoreremo con te per capire e risolvere rapidamente il problema e non raccomanderemo né perseguiremo azioni legali nei tuoi confronti per una delle tue azioni relative alla tua ricerca.

Metodi di prova

I ricercatori della sicurezza non devono:

  • Testa qualsiasi sistema diverso da quelli riportati nella sezione Ambito qui sotto
  • Divulga informazioni sulle vulnerabilità, tranne quanto previsto nelle sezioni Segnalazione di una vulnerabilità e Divulgazione qui sotto
  • Impegnarsi in test fisici di strutture o risorse
  • Impegnarsi nell'ingegneria sociale
  • Inviare posta elettronica non richiesta agli utenti Proton, inclusi messaggi di "phishing".
  • Eseguire o tentare di eseguire attacchi di tipo “denial of service” o “esaurimento delle risorse”.
  • Introdurre software dannoso nei sistemi di Proton o di terze parti
  • Eseguire test che potrebbero compromettere il funzionamento dei sistemi Proton o compromettere, interrompere o disabilitare intenzionalmente i sistemi SEC
  • Testare applicazioni, siti Web o servizi di terze parti che si integrano o si collegano a o da sistemi Proton
  • Eliminare, alterare, condividere, conservare o distruggere i dati Proton o rendere inaccessibili i dati Proton
  • Utilizzare un exploit per estrarre dati, stabilire l'accesso alla riga di comando, stabilire una presenza persistente sui sistemi Proton o "perno" su altri sistemi Proton

I ricercatori sulla sicurezza possono:

  • Visualizzare o archiviare dati non pubblici di Proton solo nella misura necessaria a documentare la presenza di una potenziale vulnerabilità

I ricercatori della sicurezza devono:

  • Interrompere i test e avvisarci immediatamente non appena viene scoperta una vulnerabilità
  • Interrompere i test e avvisarci immediatamente non appena viene scoperta l'esposizione di dati non pubblici
  • Eliminare tutti i dati non pubblici archiviati dopo aver segnalato una vulnerabilità

Scopo

Sono compresi i seguenti sistemi e servizi:

  • Il nostro sito web, proton.me
  • L'applicazione web account.proton.me
  • Proton Mail
  • L'applicazione web mail.proton.me
  • App Proton Mail per Android e iOS
  • api.protonmail.ch
  • Proton Drive
  • L'applicazione web drive.proton.me
  • App Proton Drive per Windows e Android
  • Applicazione Proton Drive per iOS/iPad (in versione beta)
  • Proton Calendar
  • L'applicazione web calendar.proton.me
  • App Proton Calendar per iOS/iPad (in versione beta)
  • SimpleLogin
  • Proton VPN
  • Il nostro sito Web VPN, protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch
  • App Proton VPN per Windows, macOS, Linux, iOS/iPad e Android
  • Proton Bridge per Windows, macOS e GNU/Linux
  • Proton Pass
  • Applicazioni mobili Proton Pass (Android e iOS)
  • Estensioni web Proton Pass
  • Proton Wallet
  • L'applicazione web wallet.proton.me
  • Proton Scribe

Tutti i servizi non esplicitamente elencati sopra sono esclusi dall'ambito di applicazione di questa politica. Per chiarezza, ciò include, ma non è limitato a:

  • Sposta in spam
  • Tecniche di ingegneria sociale
  • Attacchi di negazione del servizio
  • L'inserimento di contenuti non rientra nell'ambito a meno che non sia possibile dimostrare chiaramente un rischio significativo per Proton o i suoi utenti
  • Esecuzione di script su domini sandbox
  • Rapporti sugli arresti anomali delle app mobili non riproducibili su versioni aggiornate del sistema operativo o dispositivi mobili rilasciati negli ultimi due (2) anni solari
  • Problemi di sicurezza che esulano dall’ambito della missione di Proton Mail
  • Bug che richiedono interazioni utente estremamente improbabili
  • Bug di WordPress (segnala a WordPress)
  • Bug su shop.proton.me (segnala a Shopify)
  • Bug su proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com e help.protonmail.com (segnalali a Zendesk)
  • Bug su status.proton.me (segnalali ad Atlassian)
  • Dimostrazione di concetti che richiedono l'accesso fisico al dispositivo
  • Software obsoleto: per una serie di motivi, non utilizziamo sempre le versioni più recenti del software, ma utilizziamo un software completamente aggiornato
  • Problemi che impattano browser non aggiornati
  • Bug su partners.proton.me (segnala a TUNE)
  • Bug su localize.proton.me (segnala a Discourse)

Segnalazione di una vulnerabilità

Le segnalazioni vengono accettate tramite posta elettronica all'indirizzo security@proton.me. I formati di messaggio accettabili sono testo normale, rich text e HTML. Ti invitiamo a crittografare gli invii utilizzando la nostra chiave pubblica PGP quando invii vulnerabilità.

  • Preferiamo report che includano codice proof-of-concept che dimostri uno sfruttamento della vulnerabilità.
  • I rapporti devono fornire una descrizione tecnica dettagliata dei passaggi necessari per riprodurre la vulnerabilità, inclusa una descrizione di eventuali strumenti necessari per identificare o sfruttare la vulnerabilità.
  • Le immagini (ad es., catture di schermo) e altri documenti possono essere allegati ai rapporti. È utile dare agli allegati nomi illustrativi.
  • Richiediamo che eventuali script o codici di exploit siano incorporati in tipi di file non eseguibili.
  • Siamo in grado di elaborare tutti i tipi di file e archivi più comuni, inclusi zip, 7zip e gzip.

I ricercatori possono inviare rapporti in modo anonimo o fornire informazioni di contatto, comprese modalità e tempi in cui il team di sicurezza Proton dovrebbe contattarli. Potremmo contattare i ricercatori per chiarire aspetti del rapporto inviato o raccogliere ulteriori informazioni tecniche.

Inviando un rapporto a Proton, affermi che il rapporto e eventuali allegati non violano i diritti di proprietà intellettuale di terzi. Concedi inoltre a Proton una licenza non esclusiva, libera da diritti, mondiale e perpetua per utilizzare, riprodurre, creare opere derivate e pubblicare il rapporto e gli eventuali allegati.

Divulgazione

Proton si impegna a correggere tempestivamente le vulnerabilità. Lavoreremo diligentemente per risolvere eventuali problemi che mettono a rischio la nostra comunità. Chiediamo a tutti i ricercatori di avere pazienza mentre esaminiamo i rapporti che ci inviate, poiché la divulgazione pubblica di una vulnerabilità in assenza di un'azione correttiva prontamente disponibile aumenta piuttosto che diminuire il rischio per la sicurezza della nostra comunità.

Pertanto, è necessario astenersi dal condividere informazioni su vulnerabilità scoperte per 120 giorni di calendario dopo aver ricevuto la nostra conferma di ricezione del tuo rapporto. Se ritieni che altri debbano essere informati della vulnerabilità prima della nostra attuazione delle azioni correttive, devi coordinarti in anticipo con il team di sicurezza Proton.

Potremmo condividere rapporti sulle vulnerabilità con i fornitori interessati. Non condivideremo i nomi o i dati di contatto dei ricercatori di sicurezza a meno che non venga fornito il permesso esplicito.

Hai altre domande?

Domande riguardanti questa politica possono essere inviate a security@proton.me. Proton incoraggia i ricercatori nel campo della sicurezza a contattarci per chiarimenti su qualsiasi elemento di questa politica.

Contattaci se non sei sicuro che un metodo di test specifico sia incoerente o non affrontato da questa politica prima di iniziare i test. We also invite security researchers to contact us with suggestions for improving this policy.