Proton 홈페이지

Proton 버그 보상 프로그램

Proton 커뮤니티는 정보의 안전을 유지하기 위해 당사의 서비스를 신뢰합니다. Proton은 이러한 신뢰를 중요하게 생각하며, 잠재적인 취약점을 식별, 확인 및 해결하기 위해 보안 연구 커뮤니티와 협력하는 데 전념하고 있습니다.

귀하가 보안 연구원이라면 Proton 서비스를 더 안전하게 만들고, 보안 기여자로 인정받으며, 잠재적으로 보상을 받을 수 있습니다. 그리고 귀하는 개인정보가 기본인 더 나은 인터넷을 구축하는 데 동참하게 될 것입니다.

버그 보상 프로그램 범위 및 규칙

Proton 버그 보상 프로그램에 취약점을 제출하기 전에 다음 문서를 읽어보아야 합니다.

  • 취약점 공개 정책은 프로그램에서 허용되는 테스트 방법을 설명합니다.

  • 세이프 하버 정책은 귀하가 Proton 버그 보상 프로그램에 취약점을 보고할 때 어떤 테스트와 조치가 책임으로부터 보호되는지 설명합니다.

취약점 보고 방법

security@proton.me으로 이메일을 보내 취약점 보고서를 제출할 수 있습니다. 보고서는 서식 없는 텍스트, 서식 있는 텍스트 또는 HTML을 사용하여 제출할 수 있습니다.

Proton Mail을 사용하지 않는 경우, PGP 공개 키를 사용하여 제출 내용을 암호화할 것을 권장합니다.

자격 요건을 충족하는 취약점

당사는 버그 보상 프로그램의 범위 내에서 사용자 데이터의 기밀성 또는 무결성에 실질적인 영향을 미치는 모든 설계 또는 구현 문제를 고려할 것입니다. 여기에는 다음이 포함되나 이에 국한되지 않습니다.

웹 어플리케이션

  • 크로스 사이트 스크립팅

  • 혼합 콘텐츠 스크립트

  • 크로스 사이트 요청 위조

  • 인증 또는 권한 부여 결함

  • 서버 측 코드 실행 버그

  • REST API 취약점

데스크톱 어플리케이션

  • Proton 앱을 통한 원격 코드 실행

  • 로컬 데이터, 자격 증명 또는 키체인 정보 유출

  • 인증 및 권한 부여 취약점

  • 안전하지 않은 업데이트 또는 코드 서명 메커니즘

  • 로컬 권한 상승 취약점

모바일 어플리케이션

  • 모바일 로컬 데이터 보안 사고

  • 인증 또는 권한 부여 결함

  • 서버 측 코드 실행 버그

서버

  • 권한 상승

  • SMTP 익스플로잇 (예: 오픈 릴레이)

  • 승인되지 않은 쉘 접근

  • 승인되지 않은 API 접근

범위 제외 사항

취약점 공개 정책을 참조해 주세요.

제출 심사 및 보상 결정

당사는 이 정책에 따라 선의로 수행된 보안 연구를 인정하고 보상합니다.

보상 금액은 Proton 보안 및 엔지니어링 팀원으로 구성된 심사 패널이 사례별로 평가합니다. 이 패널이 보상 지급에 관한 모든 최종 결정을 내리며, 참가자는 이러한 결정을 존중하는 데 동의해야 합니다.

Proton 사용자 데이터에 미치는 영향의 심각도가 보상 금액을 결정하는 우선 순위 요인입니다. 아래 나열된 수치는 표준 보상 범위를 나타냅니다. 실제 지급액은 다음과 같은 요인에 따라 달라질 수 있습니다.

  • 전제 조건: 익스플로잇이 취약점 자체 이외의 추가 요구 사항에 따라 달라지는지 여부(예:

    • 일반적이지 않은 사용자 설정 – 이례적인 사용자 설정 또는 설정에 의존하는 경우.
    • 기본이 아닌 설정 – Proton 소프트웨어가 비표준 방식으로 설정되어 있어야 합니다.
    • 익스플로잇 신뢰성 – 경쟁 상태, 낮은 RCE 성공률 등으로 인해 성공이 일관되지 않은 경우(예: 비결정적 성공).
    • 로컬 기기 상태 – 높은 권한, 탈옥/루팅된 기기 및/또는 물리적 접근이 필요한 경우.
    • 환경 또는 네트워크 조건 – 드물거나 가능성이 낮은 외부 조건에 따라 달라지는 경우.
  • 영향 범위: 서비스의 기밀성, 무결성 또는 가용성이 영향을 받을 수 있는 정도.

  • 익스플로잇 체인 가치: 해당 문제가 더 광범위한 취약점 체인에 기여할 수 있는지 여부.

  • 악용 가능성: 해당 문제가 실제 공격에 사용될 가능성.

  • 참신성: 문제가 새로운 것인지, 이전에 보고되었는지 또는 이미 공개되었는지 여부(최초의 유효한 제출만 자격이 있음).

  • 제출 품질: 재현 가능한 개념 증명 또는 영향을 보여주는 명확한 경로를 포함해야 합니다. 코드 또는 의사 코드가 강력히 권장됩니다.

예외적인 경우, 보상은 최대 보상 금액까지 증액될 수 있습니다.

보상 금액

  • 최대 보상: USD 100,000

  • 심각도 '치명적': USD 25,000 - USD 50,000

    서비스 환경에 대한 완전하고 지속적인 무단 제어를 허용하거나, 특별한 조건이나 사전 접근 없이 모든 사용자 데이터의 기밀성 또는 무결성을 유출하는 취약점 발견.

  • 심각도 '높음': USD 2,500 - USD 25,000

    서비스 환경의 대부분에 대한 지속적인 무단 제어로 이어지거나, 특별한 조건이나 사전 접근 없이 광범위한 사용자 그룹에 영향을 미치는 데이터 기밀성 또는 무결성의 중대한 보안 사고로 이어지지만 전체 서비스 유출에는 미치지 못하는 취약점 발견.

  • 심각도 '중간': USD 1,000 - USD 2,500

    서비스 환경의 일부에 대한 무단 제어를 허용하거나, 단일 사용자 또는 소규모 그룹의 사용자 데이터의 무결성 또는 기밀성을 유출하는 취약점 발견. 또는 상당한 사용자 상호 작용이나 특정 조건이 필요하지만, 여전히 민감한 데이터나 제어 권한의 노출로 이어지는 광범위한 영향을 미치는 취약점.

  • 심각도 '낮음': 사례별, 기본적으로 금전적 보상 없음

    제한된 영향이나 가능성이 낮은 조건을 가진 취약점 발견.

자격 요건

의도된 동작, 이론적 또는 모범 사례 권장 사항을 설명하지만 구체적인 익스플로잇 경로가 없는 결과는 자격이 없습니다. 각 자격 요건을 충족하는 취약점의 최초 유효 신고자는 Proton이 문제를 확인하고 수정 사항을 배포한 후 해당 지급금을 받게 됩니다.

질문

이 정책에 관한 질문은 security@proton.me으로 보내주시기 바랍니다. Proton은 보안 연구원들이 이 정책의 모든 요소에 대한 명확한 설명을 위해 저희에게 연락해 주시기를 권장합니다.

테스트를 시작하기 전에 특정 테스트 방법이 이 정책과 일치하지 않거나 정책에서 다루지 않는지 확실하지 않은 경우 당사에 문의해 주십시오. 또한 이 정책을 개선하기 위한 제안 사항이 있는 보안 연구원들의 연락을 환영합니다.