Proton
Sist endret: 30. juli 2025

Retningslinje for offentliggjøring av sårbarheter

Som et selskap grunnlagt av forskere som møttes på CERN, tror vi på fagfellevurdering. Derfor støtter vi det uavhengige sikkerhetsmiljøet for å hjelpe oss med å opprettholde sikkerheten i systemene våre og beskytte sensitiv informasjon mot uautorisert offentliggjøring. Vi oppfordrer sikkerhetsforskere til å kontakte oss for å rapportere potensielle sårbarheter som er identifisert i Proton-produkter.

Denne retningslinjen spesifiserer:

  • Hvilke systemer og applikasjoner som omfattes
  • Hvilke typer sikkerhetsforskningsmetoder som dekkes
  • Hvordan rapportere potensielle sikkerhetssårbarheter til oss
  • Vår filosofi for offentliggjøring av sårbarheter og hvor lenge vi vil be deg vente før du offentliggjør sårbarheter

Proton vil bekrefte mottak av rapporter som samsvarer med retningslinjen for offentliggjøring av sårbarheter innen fem (5) virkedager. Ved mottak vil vi bestrebe oss på å validere innsendinger, iverksette korrigerende tiltak (hvis hensiktsmessig), og informere forskere om status for rapporterte sårbarheter med minimal forsinkelse.

Hvis du i god tro forsøker å overholde denne retningslinjen under sikkerhetsforskningen din, vil vi anse forskningen din som autorisert i henhold til Protons juridiske «safe harbor»-retningslinje. Vi vil samarbeide med deg for å forstå og løse problemet raskt, og vil ikke anbefale eller forfølge rettslige skritt mot deg for handlingene dine knyttet til forskningen din.

Testmetoder

Sikkerhetsforskere må ikke:

  • Teste andre systemer enn de som er angitt i omfangsseksjonen nedenfor
  • Offentliggjøre sårbarhetsinformasjon unntatt som angitt i seksjonene Rapportering av en sårbarhet og Offentliggjøring nedenfor
  • Delta i fysisk testing av fasiliteter eller ressurser
  • Utføre sosial manipulering
  • Sende uoppfordret e-post til Proton-brukere, inkludert meldinger med «nettfisking»
  • Utføre eller forsøke å utføre «tjenestenekt»- eller «ressursutmattelse»-angrep
  • Introdusere ondsinnet programvare i systemene til Proton eller en tredjepart
  • Utføre tester som kan forringe driften av Proton-systemer eller med vilje svekke, forstyrre eller deaktivere SEC-systemer
  • Teste tredjeparts applikasjoner, nettsteder eller tjenester som integreres med eller lenker til eller fra Proton-systemer
  • Slette, endre, dele, beholde eller ødelegge Proton-data, eller gjøre Proton-data utilgjengelige
  • Bruke en utnyttelse til å eksfiltrere data, etablere kommandolinjetilgang, etablere en vedvarende tilstedeværelse på Proton-systemer, eller «pivotere» til andre Proton-systemer

Sikkerhetsforskere kan:

  • Vise eller lagre ikke-offentlige Proton-data kun i den grad det er nødvendig for å dokumentere tilstedeværelsen av en potensiell sårbarhet

Sikkerhetsforskere må:

  • Avslutte testingen og varsle oss umiddelbart ved oppdagelse av en sårbarhet
  • Avslutte testingen og varsle oss umiddelbart ved oppdagelse av eksponering av ikke-offentlige data
  • Slette alle lagrede ikke-offentlige data ved rapportering av en sårbarhet

Omfang

Følgende systemer og tjenester er inkludert:

Proton

  • Nettstedet vårt, proton.me
  • Nettappen account.proton.me

Proton Calendar

  • Nettappen calendar.proton.me
  • Proton Calendar-apper (Android og iOS/iPad)

Proton Drive

  • Nettappen drive.proton.me
  • Proton Drive-apper (Android, iOS/iPad [i testversjon] og Windows)

Proton Docs

  • Nettappen docs.proton.me

Proton Mail

  • Nettappen mail.proton.me
  • Nettappen api.protonmail.ch
  • Proton Mail-mobilapper (Android og iOS/iPad)
  • Proton Bridge-apper (GNU/Linux, macOS og Windows)
  • Proton Scribe

Proton Pass

  • Nettappen pass.proton.me
  • Proton Pass-mobilapper (Android, iOS/iPad)
  • Proton Pass-skrivebordsapper (Linux, macOS og Windows)
  • Proton Pass-nettutvidelser (Chrome og Firefox)

Proton Authenticator

  • Proton Authenticator-mobilapper (Android, iOS/iPad)
  • Proton Authenticator-skrivebordsapper (Linux, macOS og Windows)

Proton VPN

  • VPN-nettstedet vårt, protonvpn.com
  • Nettappen account.protonvpn.com
  • Nettappen api.protonvpn.ch
  • Proton VPN-apper (Android, iOS/iPad, Linux, macOS og Windows)
  • Proton VPN-nettutvidelser (Android TV, Apple TV, Chrome, Chromebook og Firefox)

Proton Wallet

  • Nettappen wallet.proton.me
  • Proton Wallet-apper (Android, iOS)

Lumo fra Proton

  • Nettappen lumo.proton.me
  • Proton Lumo-apper (Android, iOS)

SimpleLogin

  • Nettstedet simplelogin.io
  • Nettappen app.simplelogin.io
  • SimpleLogin-mobilappene (Android og iOS)
  • SimpleLogin-nettleserutvidelsene (Chrome, Edge, Firefox og Safari)

Standard Notes

  • Nettstedet standardnotes.com
  • Nettappen app.standardnotes.com
  • Standard Notes-apper (Android, iOS/iPad, Linux, macOS og Windows)

Tjenester som ikke er eksplisitt oppført ovenfor, er unntatt fra omfanget av denne retningslinjen. For ordens skyld inkluderer dette, men er ikke begrenset til:

  • Søppelpost
  • Teknikker for sosial manipulering
  • Tjenestenektangrep
  • Innholdsinnsprøyting er utenfor omfanget med mindre du klart kan demonstrere en betydelig risiko for Proton eller brukerne
  • Kjøring av skript på sandkasse-domener
  • Krasjrapporter for mobilapper som ikke kan reproduseres på oppdaterte OS-versjoner eller mobilenheter utgitt innen de siste to (2) kalenderårene
  • Sikkerhetsproblemer utenfor omfanget av Protons oppdrag
  • Feil som krever svært usannsynlige brukerinteraksjoner
  • WordPress-feil (vennligst rapporter disse til WordPress)
  • Feil på shop.proton.me (vennligst rapporter disse til Shopify)
  • Feil på proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com og help.protonmail.com (vennligst rapporter disse til Zendesk)
  • Feil på status.proton.me (vennligst rapporter disse til Atlassian)
  • Konseptbevis som krever fysisk tilgang til enheten
  • Utdatert programvare – Av ulike grunner kjører vi ikke alltid de nyeste programvareversjonene, men vi kjører programvare som er fullt oppdatert
  • Mangler som påvirker utdaterte nettlesere
  • Feil på partners.proton.me (vennligst rapporter disse til TUNE)
  • Feil på localize.proton.me (vennligst rapporter disse til Discourse)

Rapportering av en sårbarhet

Rapporter aksepteres via e-post til security@proton.me. Akseptable meldingsformater er ren tekst, rik tekst og HTML. Vi oppfordrer deg til å kryptere innsendinger ved hjelp av vår offentlige PGP-nøkkel når du sender inn sårbarheter.

  • Vi foretrekker rapporter som inkluderer «proof-of-concept»-kode som demonstrerer en utnyttelse av sårbarheten.
  • Rapporter bør gi en detaljert teknisk beskrivelse av trinnene som kreves for å reprodusere sårbarheten, inkludert en beskrivelse av eventuelle verktøy som trengs for å identifisere eller utnytte sårbarheten.
  • Bilder (f.eks. skjermbilder) og andre dokumenter kan legges ved rapporter. Det er nyttig å gi vedlegg illustrative navn.
  • Vi ber om at eventuelle skript eller utnyttelseskode felles inn i ikke-kjørbare filtyper.
  • Vi kan behandle alle vanlige filtyper og arkiver, inkludert zip, 7zip og gzip.

Forskere kan sende inn rapporter anonymt eller oppgi kontaktinformasjon, inkludert hvordan og når Proton Security-teamet skal kontakte dem. Vi kan kontakte forskere for å avklare aspekter ved den innsendte rapporten eller innhente annen teknisk informasjon.

Ved å sende inn en rapport til Proton, bekrefter du at rapporten og eventuelle vedlegg ikke bryter immaterielle rettigheter til noen tredjepart. Du gir også Proton en ikke-eksklusiv, royaltyfri, verdensomspennende, evigvarende lisens til å bruke, reprodusere, lage avledede verk og publisere rapporten og eventuelle vedlegg.


Offentliggjøring

Proton er forpliktet til rettidig korrigering av sårbarheter. Vi vil arbeide iherdig for å løse eventuelle problemer som setter samfunnet vårt i fare. Vi ber alle forskere om å ha tålmodighet med oss mens vi undersøker rapportene dere sender til oss, da offentliggjøring av en sårbarhet uten tilgjengelige korrigerende tiltak sannsynligvis øker snarere enn reduserer sikkerhetsrisikoen for samfunnet vårt.

Følgelig krever vi at du avstår fra å dele informasjon om oppdagede sårbarheter i 120 kalenderdager etter at du har mottatt vår bekreftelse på mottak av rapporten din. Hvis du mener at andre bør informeres om sårbarheten før vi iverksetter korrigerende tiltak, må du koordinere på forhånd med Proton Security-teamet.

Vi kan dele sårbarhetsrapporter med berørte leverandører. Vi vil ikke dele navn eller kontaktdata til sikkerhetsforskere med mindre vi har fått uttrykkelig tillatelse.


Spørsmål?

Spørsmål angående denne retningslinjen kan sendes til security@proton.me. Proton oppfordrer sikkerhetsforskere til å kontakte oss for avklaring om ethvert element i denne retningslinjen.

Vennligst kontakt oss hvis du er usikker på om en spesifikk testmetode er inkonsekvent med eller ikke adressert av denne retningslinjen før du begynner testingen. Vi inviterer også sikkerhetsforskere til å kontakte oss med forslag til forbedring av denne retningslinjen.


I tilfelle uoverensstemmelse mellom den engelske versjonen av dette innholdet og en oversatt versjon, skal den engelske versjonen ha forrang.