Proton

Beleid betreffende de openbaarmaking van kwetsbaarheden.

Laatst gewijzigd: 25 juli 2024

Als bedrijf dat is opgericht door wetenschappers die elkaar kennen van CERN, geloven we in de kracht van peer review. Daarom willen we de onafhankelijke beveiligingscommunity graag ondersteunen zodat zij ons kunnen helpen bij de beveiliging van onze systemen en het beschermen van gevoelige informatie tegen onbevoegde openbaarmaking. We willen beveiligingsonderzoekers aanmoedigen om contact met ons op te nemen en mogelijke kwetsbaarheden in Proton-producten te melden.

In dit beleid staat:

  • Op welke systemen en applicaties het van toepassing is
  • Op welke onderzoeksmethoden voor beveiliging het betrekking heeft
  • Hoe u mogelijke kwetsbaarheden aan ons kunt melden
  • Onze filosofie over het openbaarmaken van kwetsbaarheden en hoe lang we u vragen om te wachten voordat u een kwetsbaarheid openbaar maakt.

Proton zal de ontvangst van een rapport dat voldoet aan het beleid betreffende de openbaarmaking van kwetsbaarheden binnen vijf (5) werkdagen bevestigen. Na ontvangst zullen we zo snel mogelijk ons best doen om inzendingen te valideren, maatregelen te implementeren (indien nodig) en onderzoekers op de hoogte stellen van de status van gemelde kwetsbaarheden.

Als u zich tijdens uw beveilingsonderzoek zo veel mogelijk hebt gehouden aan dit beleid, dan zullen we overwegen om uw onderzoek te autoriseren volgens het beleid van Proton betreffende juridische veiligheid. We zullen met u samenwerken om het probleem snel in kaart te brengen en op te lossen en we zullen geen juridische stappen tegen u nemen of deze aanraden voor wat u in het kader van uw onderzoek hebt gedaan.

Testmethoden

Beveiligingsonderzoekers moeten het volgende niet doen:

  • Testen van andere systemen dan de systemen die worden beschreven in het onderstaande toepassingsgebied
  • Informatie over kwetsbaarheden openbaar maken, behalve zoals hieronder uiteengezet in de secties Kwetsbaarheid melden en Openbaarmaking
  • Fysieke tests uitvoeren op faciliteiten of middelen
  • Social engineering uitvoeren
  • Ongevraagde elektronische post naar Proton-gebruikers sturen, waaronder "phishing"-berichten
  • Aanvallen voor "denial of service" of "uitputting van bronnen" uitvoeren of proberen uit te voeren
  • Kwaadaardige software te introduceren in de systemen van Proton of een derde partij
  • Tests uit te voeren die de werking van Proton-systemen kunnen verstoren of SEC-systemen opzettelijk kunnen beschadigen, verstoren of uitschakelen.
  • Toepassingen, websites of diensten van derden testen die integreren met of linken naar of van Protonsystemen
  • Proton-gegevens verwijderen, wijzigen, delen, bewaren of vernietigen, of Proton-gegevens ontoegankelijk maken
  • Een exploit gebruiken om gegevens te exfiltreren, toegang tot de commandoregel te krijgen, een permanente aanwezigheid op Proton-systemen te vestigen of naar andere Proton-systemen te "pivotten"

Beveiligingsonderzoekers kunnen:

  • Niet-openbare gegevens van Proton alleen bekijken of opslaan voor zover dit nodig is om de aanwezigheid van een mogelijke kwetsbaarheid te documenteren

Beveiligingsonderzoekers moeten het volgende doen:

  • Stoppen met testen en ons onmiddellijk op de hoogte stellen als een kwetsbaarheid wordt ontdekt
  • Stoppen met testen en ons onmiddellijk op de hoogte stellen als een openbaarmaking van niet-openbare gegevens wordt ondekt.
  • Alle niet-openbare gegevens die zijn opgeslagen wissen na het melden van een kwetsbaarheid

Bereik

Dit beleid heeft betrekking op de volgende systemen en diensten:

  • Onze website, proton.me
  • De web-app account.proton.me
  • Proton Mail
  • De web-app mail.proton.me
  • De Android- en iOS-apps van Proton Mail
  • api.protonmail.ch
  • Proton Drive
  • De web-app drive.proton.me
  • De Windows- en Android-apps van Proton Drive
  • De iOS/iPad-app van Proton Drive (in beta)
  • Proton Calendar
  • De web-app calendar.proton.me
  • Proton Calendar iOS/iPad app (in bèta)
  • SimpleLogin
  • Proton VPN
  • Onze VPN-website, protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch
  • Proton VPN Windows-, macOS-, Linux-, iOS/iPad- en Android-apps
  • Proton Bridge voor Windows, macOS en GNU/Linux
  • Proton Pass
  • Proton Pass mobiele apps (Android en iOS)
  • Proton Pass webuitbreidingen
  • Proton Wallet
  • De web-app wallet.proton.me
  • Proton Scribe

Alle diensten die hierboven niet expliciet worden genoemd, vallen buiten het toepassingsgebied van deze polis. Voor de duidelijkheid: dit omvat, maar is niet beperkt tot:

  • Spam
  • Technieken voor social engineering
  • Denial-of-service-aanvallen
  • Het injecteren van inhoud valt buiten het toepassingsgebied, tenzij u duidelijk een aanzienlijk risico voor Proton of zijn gebruikers kunt aantonen
  • Scripts uitvoeren op sandboxedomeinen
  • Crashmeldingen van mobiele apps die niet reproduceerbaar zijn op actuele OS-versies of mobiele apparaten die in de afgelopen twee (2) kalenderjaren zijn uitgebracht
  • Veiligheidskwesties buiten de missie van Proton Mail
  • Bugs die buitengewoon onwaarschijnlijke gebruikersinteracties vereisen
  • Bugs in WordPress (meld deze bij WordPress)
  • Bugs in shop.proton.me (meld deze bij Shopify)
  • Bugs in proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com, en help.protonmail.com (meld deze bij Zendesk)
  • Bugs in status.proton.me (meld deze bij Atlassian)
  • Proof of concepts waarvoor fysieke toegang tot het apparaat vereist is
  • Verouderde software; vanwege verschillende redenen gebruiken we niet altijd de meest recente softwareversie. We gebruiken wel altijd software die voorzien is van alle patches
  • Gebreken die van invloed zijn op verouderde browsers
  • Bugs in partners.proton.me (meld deze bij TUNE)
  • Bugs in localize.proton.me (meld deze bij Discourse)

Een kwetsbaarheid melden

Rapporten worden geaccepteerd via e-mail op security@proton.me. De geaccepteerde berichtindeling is platte tekst, opgemaakte tekst en HTML. We raden u aan om uw berichten te versleutelen met onze openbare PGP-sleutel als u een kwetsbaarheid wilt melden.

  • We zien graag dat een rapport een proof-of-concept-code bevat die de exploitatie van de kwetsbaarheid aantoont.
  • Rapporten moeten een gedetailleerde technische beschrijving bevatten van de stappen die nodig zijn om de kwetsbaarheid te reproduceren, en een beschrijving van alle tools die nodig zijn om de kwetsbaarheid te zien of te exploiteren.
  • Afbeeldingen (bijv. schermafbeeldingen) en andere documenten kunnen bij rapporten worden gevoegd. Het is nuttig om bijlagen illustratieve namen te geven.
  • We verzoeken om scripts of exploitcode in te sluiten in niet-uitvoerbare bestandstypen.
  • We kunnen alle gangbare bestandstypen en archieven verwerken, inclusief zip, 7zip en gzip.

Onderzoekers kunnen anoniem rapporten indienen of contactinformatie verstrekken, inclusief hoe en wanneer het Proton Security-team contact met hen moet opnemen. We kunnen contact opnemen met onderzoekers om aspecten van het ingediende rapport te verduidelijken of om andere technische informatie te verzamelen.

Door een rapport in te dienen bij Proton, bevestigt u dat het rapport en eventuele bijlagen geen inbreuk maken op de intellectuele-eigendomsrechten van derden. U verleent Proton tevens een niet-exclusieve, royaltyvrije, wereldwijde, eeuwigdurende licentie om het rapport en eventuele bijlagen te gebruiken, te reproduceren, daarvan afgeleide werken te maken en te publiceren.

Openbaarmaking

Proton zet zich in om kwetsbaarheden tijdig te verhelpen. We zullen hard werken om alle problemen op te lossen die onze gemeenschap in gevaar brengen. We vragen alle onderzoekers om geduld met ons te hebben, terwijl we de rapporten bestuderen die u bij ons indient, aangezien het openbaar maken van een kwetsbaarheid in afwezigheid van een direct beschikbare corrigerende actie het beveiligingsrisico van onze gemeenschap waarschijnlijk eerder vergroot dan verkleint.

In overeenstemming hiermee vereisen we dat u zich gedurende 120 kalenderdagen nadat u onze ontvangstbevestiging van uw melding hebt ontvangen, onthoudt van het delen van informatie over ontdekte kwetsbaarheden. Als u van mening bent dat anderen op de hoogte moeten worden gebracht van de kwetsbaarheid voordat wij corrigerende maatregelen hebben geïmplementeerd, moet u dit van tevoren afstemmen met het beveiligingsteam van Proton.

We kunnen rapporten over kwetsbaarheden delen met betrokken leveranciers. We zullen de namen of contactgegevens van beveiligingsonderzoekers niet delen, tenzij hiervoor expliciet toestemming is gegeven.

Heeft u nog vragen?

Als u vragen hebt over dit beleid, kunt u contact opnemen met security@proton.me. Proton moedigt beveiligingsonderzoekers aan om contact op te nemen als iets in dit beleid niet duidelijk is.

Neem contact met ons op als u niet zeker weet of een specifieke testmethode inconsistent is met of niet aan bod komt in dit beleid voordat u begint met testen. We moedigen beveiligingsondersoekers ook aan om contact met ons op te nemen als ze suggesties hebben om dit beleid te verbeteren.