Proton

Polityka ujawniania luk w zabezpieczeniach

Ostatnio zmodyfikowano: 25 lipca 2024

Jako firma założona przez naukowców, którzy spotkali się w CERN, wierzymy we wzajemną weryfikację. Dlatego wspieramy niezależną społeczność zajmującą się bezpieczeństwem, która pomaga utrzymać nam bezpieczeństwo naszych systemów i chronić wrażliwe informacje przed nieupoważnionym ujawnieniem. Zachęcamy badaczy bezpieczeństwa do kontaktowania się z nami w celu zgłaszania potencjalnych luk zidentyfikowanych w produktach Proton.

Niniejsza polityka określa:

  • Jakie systemy i aplikacje wchodzą w zakres zainteresowań
  • Jakie rodzaje metod badań nad bezpieczeństwem są uwzględnione
  • Jak zgłaszać nam potencjalne luki w zabezpieczeniach
  • Nasza filozofia ujawniania luk w zabezpieczeniach i czas oczekiwania, zanim publicznie ujawnimy luki

Proton potwierdzi otrzymanie zgłoszeń zgodnych z polityką ujawniania luk w ciągu pięciu (5) dni roboczych. Po otrzymaniu zgłoszenia postaramy się je zweryfikować, wdrożyć działania naprawcze (jeśli to konieczne) i poinformować badaczy o sposobie usunięcia zgłoszonych luk w zabezpieczeniach z minimalnym opóźnieniem.

Jeżeli w dobrej wierze dołożysz wszelkich starań, aby przestrzegać tej polityki podczas badania bezpieczeństwa, uznamy Twoje badanie za autoryzowane zgodnie z polityką prawną „bezpiecznej przystani” firmy Proton. Będziemy współpracować z Tobą w celu zrozumienia i szybkiego rozwiązania problemu i nie będziemy zalecać ani podejmować działań prawnych przeciwko Tobie w związku z jakimikolwiek działaniami związanymi z Twoimi badaniami.

Metody testowania

Badacze bezpieczeństwa nie mogą:

  • Testować innego systemu niż systemy określone w sekcji Zakres, zamieszczonej poniżej
  • Ujawniaj informacje o lukach w zabezpieczeniach, z wyjątkiem przypadków określonych w sekcjach Zgłaszanie luk i Ujawnianie poniżej
  • Zaangażowanie w fizyczne testowanie obiektów lub zasobów
  • Zaangażowanie w socjotechnikę
  • Wysyłanie niechcianej poczty elektronicznej do użytkowników Proton, w tym wiadomości typu "phishing"
  • Przeprowadzenie lub próba przeprowadzenia ataków typu "odmowa usługi" lub "wyczerpanie zasobów".
  • Wprowadzenie złośliwe oprogramowanie do systemów Proton lub jakiejkolwiek strony trzeciej
  • Przeprowadzanie testów, które mogłyby pogorszyć działanie systemów Proton lub celowo osłabić, zakłócić lub wyłączyć systemy SEC.
  • Testowanie aplikacji, stron internetowych lub usług stron trzecich, które integrują się z systemami Proton lub łączą się z nimi.
  • Usuwanie, zmienianie, udostępnianie, przechowywanie lub niszczenie danych Proton lub uniemożliwianie dostępu do danych Proton
  • Wykorzystanie exploita do eksfiltracji danych, uzyskania dostępu do wiersza poleceń, ustanowienia trwałej obecności w systemach Proton lub "przeniesienia się" do innych systemów Proton.

Badacze bezpieczeństwa mogą:

  • Wyświetlać lub przechowywać niepubliczne dane Proton tylko w zakresie niezbędnym do udokumentowania obecności potencjalnej luki w zabezpieczeniach.

Badacze bezpieczeństwa muszą:

  • Zaprzestać testowania i powiadomić nas natychmiast po wykryciu luki w zabezpieczeniach.
  • Zaprzestać testowania i powiadomić nas natychmiast po wykryciu ujawnienia danych niepublicznych.
  • Usunąć wszelkie przechowywane dane niepubliczne po zgłoszeniu luki w zabezpieczeniach.

Zakres

Zakres obejmuje następujące systemy i usługi:

  • Nasza strona internetowa, proton.me
  • Aplikacja internetowa account.proton.me
  • Proton Mail
  • Aplikacja internetowa mail.proton.me
  • Aplikacje Proton Mail na Androida i iOS
  • api.protonmail.ch
  • Proton Drive
  • Aplikacja internetowa drive.proton.me
  • Aplikacje Proton Drive na Windows i Androida
  • Aplikacja Proton Drive iOS/iPad (w wersji beta)
  • Proton Calendar
  • Aplikacja internetowa calendar.proton.me
  • Aplikacje Proton Calendar na iOS/iPad (w wersji beta)
  • SimpleLogin
  • Proton VPN
  • Nasza strona internetowa VPN, protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch
  • Aplikacje Proton VPN dla systemów Windows, macOS, Linux, iOS/iPad i Android
  • Proton Bridge dla systemów Windows, macOS i GNU/Linux
  • Proton Pass
  • Mobilne aplikacje Proton Pass (Android i iOS)
  • Rozszerzenia internetowe Proton Pass
  • Proton Wallet
  • Aplikacja internetowa wallet.proton.me
  • Proton Scribe

Wszelkie usługi, które nie zostały wyraźnie wymienione powyżej, są wyłączone z zakresu niniejszej polityki. Dla jasności, obejmuje, ale nie ogranicza się do:

  • Przenieś do Spamu
  • Technik inżynierii społecznej
  • Ataki typu „odmowa dostępu”.
  • Wstrzykiwanie treści nie wchodzi w zakres, chyba że można wyraźnie wykazać znaczne ryzyko dla firmy Proton lub jej użytkowników
  • Wykonywanie skryptów w domenach sandboxowych
  • Raporty o awariach aplikacji mobilnych, których nie można odtworzyć na aktualnych wersjach systemu operacyjnego lub urządzeniach mobilnych wydanych w ciągu ostatnich dwóch (2) lat kalendarzowych.
  • Kwestie bezpieczeństwa poza zakresem misji Proton Mail
  • Błędy wymagające wyjątkowo mało prawdopodobnych interakcji użytkownika
  • Błędy WordPress (prosimy o zgłaszanie ich do WordPress)
  • Błędy na shop.proton.me (prosimy o zgłaszanie ich do Shopify)
  • Błędy na proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com i help.protonmail.com (prosimy o zgłaszanie ich do Zendesk).
  • Błędy na status.proton.me (prosimy o zgłaszanie ich do Atlassian)
  • Proof of concept, które wymaga fizycznego dostępu do urządzenia
  • Nieaktualne oprogramowanie - z różnych powodów nie zawsze korzystamy z najnowszych wersji oprogramowania, ale korzystamy z oprogramowania, które jest w pełni zaktualizowane.
  • Luki mające wpływ na niezaktualizowane przeglądarki
  • Błędy na partners.proton.me (prosimy o zgłaszanie ich do TUNE)
  • Błędy na localize.proton.me (prosimy o zgłaszanie ich do Discourse)

Zgłaszanie luk w zabezpieczeniach

Zgłoszenia są przyjmowane za pośrednictwem poczty elektronicznej na adres security@proton.me. Akceptowane formaty wiadomości to zwykły tekst, standardowy oraz HTML. Zachęcamy do szyfrowania zgłoszeń za pomocą naszego klucza publicznego PGP podczas zgłaszania luk.

  • Preferujemy zgłoszenia, które zawierają kod proof-of-concept demonstrujący wykorzystanie luki.
  • Zgłoszenia powinny zawierać szczegółowy opis techniczny kroków wymaganych do reprodukcji luki, w tym opis narzędzi potrzebnych do zidentyfikowania lub wykorzystania luki.
  • Obrazki (np. zrzuty ekranu) i inne dokumenty mogą być załączane do zgłoszeń. Pomocne jest, by załączniki miały ilustracyjne nazwy.
  • Prosimy, aby wszelkie skrypty lub kody exploitowe były osadzone w niewykonawczych typach plików.
  • Możemy przetwarzać wszystkie powszechne typy plików i archiwów, w tym kod pocztowy, 7zip i gzip.

Naukowcy mogą przesyłać zgłoszenia anonimowo lub podać dane kontaktowe, w tym sposób i czas, w którym zespół bezpieczeństwa Proton powinien się z nimi skontaktować. Możemy skontaktować się z naukowcami w celu wyjaśnienia aspektów przesłanego zgłoszenia lub zebrania innych informacji technicznych.

Przesyłając zgłoszenie do Proton, potwierdzasz, że zgłoszenie i wszelkie załączniki nie naruszają praw własności intelektualnej osób trzecich. Przyznajesz również Protonowi niewyłączną, wolną od tantiem, ogólnoświatową, wieczystą licencję na używanie, reprodukcję, tworzenie prac pochodnych i publikowanie zgłoszenia oraz wszelkich załączników.

Ujawnianie współpracy

Proton zobowiązuje się do terminowej korekty luk. Będziemy pracować starannie, aby rozwiązać wszelkie problemy, które zagrażają naszej społeczności. Prosimy wszystkich badaczy o cierpliwość, gdy będziemy rozpatrywać zgłoszenia, które nam przesyłacie, ponieważ publiczne ujawnienie luki przy braku dostępnych działań naprawczych prawdopodobnie zwiększy, a nie zmniejszy potencjalne zagrożenie naszej społeczności.

W związku z tym wymagamy, aby powstrzymać się od dzielenia się informacjami o odkrytych lukach przez 120 dni kalendarzowych po otrzymaniu naszego potwierdzenia otrzymania zgłoszenia. Jeśli uważasz, że inni powinni być informowani o luce przed wdrożeniem działań naprawczych, musisz z wyprzedzeniem współpracować z zespołem bezpieczeństwa Proton.

Możemy dzielić się zgłoszeniami o lukach z dotkniętymi dostawcami. Nie ujawnimy imion ani danych kontaktowych badaczy bezpieczeństwa, chyba że uzyskamy wyraźną zgodę.

Masz więcej pytań?

Pytania dotyczące tej polityki można kierować na adres security@proton.me. Proton encourages security researchers to contact us for clarification on any element of this policy.

Prosimy skontaktować się z nami, jeśli nie masz pewności, czy konkretna metoda testowania jest sprzeczna z tą polityką lub nie została przez nią uwzględniona przed rozpoczęciem testów. We also invite security researchers to contact us with suggestions for improving this policy.