Proton

Proton dusørprogram for programvarefeil

Proton-fellesskapet stoler på at våre tjenester holder informasjonen deres trygg. Vi tar denne tilliten på alvor, og derfor er vi dedikerte til å samarbeide med sikkerhetsforskningsmiljøet for å identifisere, verifisere og løse potensielle sårbarheter.

Hvis du er en sikkerhetsforsker, kan du bidra til å gjøre Proton-tjenester tryggere, bli anerkjent som en sikkerhetsbidragsyter og potensielt tjene en belønning. Og du vil spille en rolle i å bygge et bedre internett der personvern er standard.

Omfang og regler for dusørprogram for programvarefeil

Før du sender inn en sårbarhet til Protons dusørprogram for programvarefeil, bør du lese følgende dokumenter:

  • Vår retningslinje for avsløring av sårbarheter beskriver programmets aksepterte testmetoder.

  • Vår «safe harbor»-retningslinje forklarer hvilke tester og handlinger som er beskyttet mot ansvar når du rapporterer sårbarheter til Protons dusørprogram for programvarefeil

Les retningslinjen for avsløring av sårbarheter
Mer om retningslinje for trygg havn

Hvordan rapportere en sårbarhet?

Du kan sende inn sårbarhetsrapporter via e-post på security@proton.me. Du kan sende inn rapporter ved bruk av ren tekst, rik tekst eller HTML.

Hvis du ikke bruker Proton Mail, oppfordrer vi deg til å kryptere innsendingene dine ved hjelp av vår offentlige PGP-nøkkel.

Kvalifiserende sårbarheter

Vi vil sannsynligvis vurdere ethvert design- eller implementeringsproblem som vesentlig påvirker konfidensialiteten eller integriteten til brukerdata innenfor omfanget av vårt dusørprogram for programvarefeil. Dette inkluderer, men er ikke begrenset til:

Nettapplikasjoner

  • Cross-site scripting

  • Skript med blandet innhold

  • Cross-site request forgery

  • Autentiserings- eller autorisasjonsfeil

  • Feil ved kjøring av kode på tjenersiden

  • Sårbarheter i REST API

Skrivebordsapplikasjoner

  • Fjernkjøring av kode gjennom Proton-apper

  • Lekkasje av lokale data, påloggingsinformasjon eller nøkkelringinformasjon

  • Svakheter ved autentisering og autorisasjon

  • Usikre oppdaterings- eller kodesigneringmekanismer

  • Sårbarheter for lokal rettighetseskalering

Mobilapplikasjoner

  • Sikkerhetsbrudd på lokale mobildata

  • Autentiserings- eller autorisasjonsfeil

  • Feil ved kjøring av kode på tjenersiden

Tjenere

  • Rettighetseskalering

  • SMTP-utnyttelser (for eksempel åpne releer)

  • Uautorisert shell-tilgang

  • Uautorisert API-tilgang

Unntak fra omfanget

Se vår retningslinje for avsløring av sårbarheter.

Vurdering av innsendinger og fastsettelse av belønninger

Vi anerkjenner og belønner godsinnet sikkerhetsforskning utført i samsvar med denne retningslinjen.

Dusørbeløp vurderes fra sak til sak av vårt bedømmelsespanel, som består av medlemmer fra Protons sikkerhets- og ingeniørteam. Dette panelet tar alle endelige avgjørelser vedrørende dusørtildelinger, og deltakere må godta å respektere disse avgjørelsene.

Alvorlighetsgraden av påvirkningen på Proton-brukeres data er den primære faktoren for å bestemme belønningsbeløp. Tallene oppført nedenfor representerer standard belønningsintervaller. Faktiske utbetalinger kan variere basert på faktorer som:

  • Forutsetninger: hvorvidt utnyttelse avhenger av ytterligere krav utover selve sårbarheten, for eksempel:

    • Uvanlige brukerinnstillinger – avhenger av atypiske brukerkonfigurasjoner eller innstillinger.
    • Ikke-standard konfigurasjoner – krever at Proton-programvare konfigureres på en ikke-standard måte.
    • Utnyttelsespålitelighet – suksess er inkonsekvent, for eksempel ikke-deterministisk suksess, på grunn av kappløpssituasjoner («race conditions»), lave RCE-suksessrater.
    • Lokal enhetstilstand – krever utvidede rettigheter, en «jailbroken»/«rootet» enhet, og/eller fysisk tilgang.
    • Miljø- eller nettverksforhold – betinget av sjeldne eller usannsynlige eksterne forhold.

  • Påvirkningsomfang: I hvilken grad konfidensialitet, integritet eller tilgjengelighet for våre tjenester kan bli påvirket.

  • Verdi av utnyttelseskjede: Hvorvidt problemet kan bidra til en bredere kjede av sårbarheter.

  • Utnyttbarhet: Sannsynligheten for at problemet kan brukes i et angrep i den virkelige verden.

  • Nyhetsverdi: Hvorvidt problemet er nytt, tidligere rapportert, eller allerede offentlig; kun den første gyldige innsendingen er kvalifisert.

  • Kvalitet på innsending: Må inkludere et reproduserbart konseptbevis («proof-of-concept») eller en tydelig bane som viser påvirkning. Kode eller pseudokode er sterkt foretrukket.

I eksepsjonelle tilfeller kan belønninger økes opp til det maksimale belønningsbeløpet.

Belønningsbeløp

  • Maksimal belønning: USD 100 000

  • Kritisk alvorlighetsgrad: USD 25 000 – USD 50 000

    Oppdagelse av en sårbarhet som tillater full vedvarende uautorisert kontroll over tjenestemiljøet, eller kompromitterer konfidensialiteten eller integriteten til alle brukeres data uten å kreve spesielle betingelser eller forutgående tilgang.

  • Høy alvorlighetsgrad: USD 2 500 – USD 25 000

    Oppdagelse av en sårbarhet som fører til vedvarende uautorisert kontroll over en stor del av tjenestemiljøet, eller et betydelig brudd på datakonfidensialitet eller integritet som påvirker en bred gruppe brukere – uten å kreve spesielle betingelser eller forutgående tilgang – men likevel ikke full tjenestekompromittering.

  • Middels alvorlighetsgrad: USD 1 000 – USD 2 500

    Oppdagelse av en sårbarhet som tillater uautorisert kontroll over en del av tjenestemiljøet, eller kompromitterer integriteten eller konfidensialiteten til brukerdata for en enkelt bruker eller en liten gruppe. Alternativt, sårbarheter med bredere påvirkning som krever betydelig brukerinteraksjon eller spesifikke betingelser, men som likevel fører til eksponering av sensitive data eller kontroller.

  • Lav alvorlighetsgrad: Fra sak til sak, ingen pengebelønning som standard

    Oppdagelse av en sårbarhet med begrenset påvirkning eller med usannsynlige betingelser.

Kvalifikasjonskrav

Funn som beskriver tiltenkt oppførsel, teoretiske anbefalinger eller beste praksis uten en konkret bane for utnyttelse er ikke kvalifisert. Den første gyldige rapportøren av hver kvalifiserende sårbarhet mottar den tilsvarende utbetalingen etter at Proton bekrefter problemet og distribuerer en rettelse.

Spørsmål

Spørsmål angående denne retningslinjen kan sendes til security@proton.me. Proton oppfordrer sikkerhetsforskere til å kontakte oss for avklaring om ethvert element i denne retningslinjen.

Vennligst kontakt oss hvis du er usikker på om en spesifikk testmetode er inkonsistent med eller ikke adressert av denne retningslinjen før du begynner testingen. Vi inviterer også sikkerhetsforskere til å kontakte oss med forslag til forbedring av denne retningslinjen.

Kontakt oss