Proton 버그 바운티 프로그램
Proton 커뮤니티는 정보를 안전하게 보호하기 위해 당사 서비스를 신뢰합니다. 당사는 그 신뢰를 진지하게 여기며, 이것이 당사가 잠재적인 취약점을 식별, 확인 및 해결하기 위해 보안 연구 커뮤니티와 협력하는 데 전념하는 이유입니다.
귀하가 보안 연구원이라면 Proton 서비스를 더 안전하게 만들고, 보안 기여자로 인정받으며, 잠재적으로 보상을 받을 수 있도록 도울 수 있습니다. 그리고 귀하는 개인정보 보호가 기본이 되는 더 나은 인터넷을 구축하는 데 일조하게 될 것입니다.
버그 바운티 프로그램 범위 및 규칙
Proton 버그 바운티 프로그램에 취약점을 제출하기 전에 다음 문서를 읽어야 합니다.
당사의 취약점 공개 정책은 프로그램에서 허용되는 테스트 방법을 설명합니다.
당사의 세이프 하버 정책은 Proton 버그 바운티 프로그램에 취약점을 보고할 때 어떤 테스트와 조치가 책임으로부터 보호되는지 설명합니다.
취약점은 어떻게 보고하나요?
security@proton.me으로 이메일을 보내 취약점 보고서를 제출할 수 있습니다. 일반 텍스트, 서식 있는 텍스트 또는 HTML을 사용하여 보고서를 제출할 수 있습니다.
Proton Mail을 사용하지 않는 경우, 당사의 PGP 공개 키를 사용하여 제출물을 암호화할 것을 권장합니다.
자격이 되는 취약점
당사는 버그 바운티 프로그램 범위 내에서 사용자 데이터의 기밀성 또는 무결성에 실질적인 영향을 미치는 모든 설계 또는 구현 문제를 고려할 것입니다. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다.
웹 애플리케이션
교차 사이트 스크립팅
혼합 콘텐츠 스크립트
교차 사이트 요청 위조
인증 또는 권한 부여 결함
서버 측 코드 실행 버그
REST API 취약점
데스크톱 어플리케이션
Proton 앱을 통한 원격 코드 실행
로컬 데이터, 자격 증명 또는 키체인 정보 유출
인증 및 권한 부여 취약점
안전하지 않은 업데이트 또는 코드 서명 메커니즘
로컬 권한 상승 취약점
모바일 어플리케이션
모바일 로컬 데이터 보안 침해
인증 또는 권한 부여 결함
서버 측 코드 실행 버그
서버
권한 상승
SMTP 익스플로잇(예: 오픈 릴레이)
승인되지 않은 셸 접근
승인되지 않은 API 접근
제출물 심사 및 보상 결정
당사는 이 정책에 따라 선의로 수행된 보안 연구를 인정하고 보상합니다.
바운티 금액은 Proton 보안 및 엔지니어링 팀원으로 구성된 당사의 판정 패널이 사례별로 평가합니다. 이 패널은 바운티 보상에 관한 모든 최종 결정을 내리며 참가자는 이러한 결정을 존중하는 데 동의해야 합니다.
Proton 사용자 데이터에 미치는 영향의 심각도가 보상액을 결정하는 주요 요소입니다. 아래 나열된 수치는 표준 보상 범위를 나타냅니다. 실제 지급액은 다음과 같은 요인에 따라 달라질 수 있습니다.
전제 조건: 악용이 취약점 자체 이외의 추가 요구 사항에 따라 달라지는지 여부, 예:
- 일반적이지 않은 사용자 설정 – 비정형적인 사용자 구성 또는 설정에 의존합니다.
- 비기본 구성 – Proton 소프트웨어를 비표준 방식으로 설정해야 합니다.
- 악용 신뢰성 – 성공이 일관되지 않음, 예: 경쟁 조건, 낮은 RCE 성공률로 인한 비결정적 성공.
- 로컬 기기 상태 – 상승된 권한, 탈옥/루팅된 기기 및/또는 물리적 접근이 필요합니다.
- 환경 또는 네트워크 조건 – 드물거나 가능성이 낮은 외부 조건에 따라 달라집니다.
영향 범위: 당사 서비스의 기밀성, 무결성 또는 가용성이 영향을 받을 수 있는 정도.
익스플로잇 체인 가치: 문제가 더 광범위한 취약점 체인에 기여할 수 있는지 여부.
악용 가능성: 실제 공격에서 문제가 사용될 수 있는 가능성.
참신성: 문제가 새로운지, 이전에 보고되었는지 또는 이미 공개되었는지 여부. 최초의 유효한 제출물만 자격이 있습니다.
제출 품질: 재현 가능한 개념 증명 또는 영향을 보여주는 명확한 경로를 포함해야 합니다. 코드 또는 의사 코드를 강력히 선호합니다.
예외적인 경우 보상은 최대 보상 금액까지 증액될 수 있습니다.
보상 금액
최대 보상: 미화 100,000달러
치명적인 심각도: 미화 25,000달러 - 미화 50,000달러
특별한 조건이나 사전 접근 없이 서비스 환경에 대한 완전하고 지속적인 무단 제어를 허용하거나 모든 사용자 데이터의 기밀성 또는 무결성을 손상시키는 취약점 발견.
높은 심각도: 미화 2,500달러 - 미화 25,000달러
서비스 환경의 상당 부분에 대한 지속적인 무단 제어로 이어지거나, 특별한 조건이나 사전 접근 없이 광범위한 사용자 그룹에 영향을 미치는 데이터 기밀성 또는 무결성의 중대한 침해로 이어지지만, 완전한 서비스 손상에는 미치지 못하는 취약점 발견.
중간 심각도: 미화 1,000달러 - 미화 2,500달러
서비스 환경의 일부에 대한 무단 제어를 허용하거나 단일 사용자 또는 소규모 그룹의 사용자 데이터 무결성 또는 기밀성을 손상시키는 취약점 발견. 또는 상당한 사용자 상호 작용이나 특정 조건이 필요하지만 여전히 민감한 데이터나 제어 장치의 노출로 이어지는 더 넓은 영향을 미치는 취약점.
낮은 심각도: 사례별, 기본적으로 금전적 보상 없음
영향이 제한적이거나 가능성이 낮은 조건을 가진 취약점의 발견.
자격 요건
의도된 동작, 구체적인 악용 경로가 없는 이론적 또는 모범 사례 권장 사항을 설명하는 발견은 자격이 없습니다. 각 자격이 되는 취약점의 첫 번째 유효한 보고자는 Proton이 문제를 확인하고 수정 사항을 배포한 후 해당 지급액을 받습니다.
질문
이 정책에 관한 질문은 security@proton.me으로 보내주십시오. Proton은 보안 연구원들이 이 정책의 모든 요소에 대한 설명을 위해 당사에 문의하는 것을 권장합니다.
테스트를 시작하기 전에 특정 테스트 방법이 이 정책과 일치하지 않거나 다루어지지 않았는지 확실하지 않은 경우 당사에 문의하십시오. 또한 보안 연구원들이 이 정책 개선을 위한 제안을 위해 당사에 연락하는 것을 환영합니다.