Proton
Ostatnio zmodyfikowano: 30 lipca 2025

Polityka ujawniania luk w zabezpieczeniach

Jako firma założona przez naukowców, którzy spotkali się w CERN, wierzymy we wzajemną weryfikację. Dlatego wspieramy niezależną społeczność zajmującą się bezpieczeństwem, która pomaga utrzymać nam bezpieczeństwo naszych systemów i chronić wrażliwe informacje przed nieupoważnionym ujawnieniem. Zachęcamy badaczy bezpieczeństwa do kontaktowania się z nami w celu zgłaszania potencjalnych luk zidentyfikowanych w produktach Proton.

Niniejsza polityka określa:

  • Jakie systemy i aplikacje wchodzą w zakres zainteresowań
  • Jakie rodzaje metod badań nad bezpieczeństwem są uwzględnione
  • Jak zgłaszać nam potencjalne luki w zabezpieczeniach
  • Nasza filozofia ujawniania luk w zabezpieczeniach i czas oczekiwania, zanim publicznie ujawnimy luki

Proton potwierdzi otrzymanie zgłoszeń zgodnych z polityką ujawniania luk w ciągu pięciu (5) dni roboczych. Po otrzymaniu zgłoszenia postaramy się je zweryfikować, wdrożyć działania naprawcze (jeśli to konieczne) i poinformować badaczy o sposobie usunięcia zgłoszonych luk w zabezpieczeniach z minimalnym opóźnieniem.

Jeżeli w dobrej wierze dołożysz wszelkich starań, aby przestrzegać tej polityki podczas badania bezpieczeństwa, uznamy Twoje badanie za autoryzowane zgodnie z polityką prawną „bezpiecznej przystani” firmy Proton. Będziemy współpracować z Tobą w celu zrozumienia i szybkiego rozwiązania problemu i nie będziemy zalecać ani podejmować działań prawnych przeciwko Tobie w związku z jakimikolwiek działaniami związanymi z Twoimi badaniami.

Metody testowania

Badacze bezpieczeństwa nie mogą:

  • Testować innego systemu niż systemy określone w sekcji Zakres, zamieszczonej poniżej
  • Ujawniaj informacje o lukach w zabezpieczeniach, z wyjątkiem przypadków określonych w sekcjach Zgłaszanie luk i Ujawnianie poniżej
  • Zaangażowanie w fizyczne testowanie obiektów lub zasobów
  • Zaangażowanie w socjotechnikę
  • Wysyłanie niechcianej poczty elektronicznej do użytkowników Proton, w tym wiadomości typu "phishing"
  • Przeprowadzenie lub próba przeprowadzenia ataków typu "odmowa usługi" lub "wyczerpanie zasobów".
  • Wprowadzenie złośliwe oprogramowanie do systemów Proton lub jakiejkolwiek strony trzeciej
  • Przeprowadzanie testów, które mogłyby pogorszyć działanie systemów Proton lub celowo osłabić, zakłócić lub wyłączyć systemy SEC.
  • Testowanie aplikacji, stron internetowych lub usług stron trzecich, które integrują się z systemami Proton lub łączą się z nimi.
  • Usuwanie, zmienianie, udostępnianie, przechowywanie lub niszczenie danych Proton lub uniemożliwianie dostępu do danych Proton
  • Wykorzystanie exploita do eksfiltracji danych, uzyskania dostępu do wiersza poleceń, ustanowienia trwałej obecności w systemach Proton lub "przeniesienia się" do innych systemów Proton.

Badacze bezpieczeństwa mogą:

  • Wyświetlać lub przechowywać niepubliczne dane Proton tylko w zakresie niezbędnym do udokumentowania obecności potencjalnej luki w zabezpieczeniach.

Badacze bezpieczeństwa muszą:

  • Zaprzestać testowania i powiadomić nas natychmiast po wykryciu luki w zabezpieczeniach.
  • Zaprzestać testowania i powiadomić nas natychmiast po wykryciu ujawnienia danych niepublicznych.
  • Usunąć wszelkie przechowywane dane niepubliczne po zgłoszeniu luki w zabezpieczeniach.

Zakres

Zakres obejmuje następujące systemy i usługi:

Proton

  • Nasza strona internetowa, proton.me
  • Aplikacja internetowa account.proton.me

Proton Calendar

  • Aplikacja internetowa calendar.proton.me
  • Aplikacje Proton Calendar (Android i iOS/iPad)

Proton Drive

  • Aplikacja internetowa drive.proton.me
  • Aplikacje Proton Drive (Android, iOS/iPad [w wersji beta] i Windows)

Proton Docs

  • Aplikacja internetowa docs.proton.me

Proton Mail

  • Aplikacja internetowa mail.proton.me
  • Aplikacja internetowa api.protonmail.ch
  • Aplikacje mobilne Proton Mail (Android i iOS/iPad)
  • Aplikacje Proton Bridge (GNU/Linux, macOS i Windows)
  • Proton Scribe

Proton Pass

  • Aplikacja internetowa pass.proton.me
  • Aplikacje mobilne Proton Pass (Android, iOS/iPad)
  • Aplikacje komputerowe Proton Pass (Linux, macOS i Windows)
  • Rozszerzenia przeglądarki Proton Pass (Chrome i Firefox)

Proton Authenticator

  • Aplikacje mobilne Proton Authenticator (Android, iOS/iPad)
  • Aplikacje komputerowe Proton Authenticator (Linux, macOS i Windows)

Proton VPN

  • Nasza strona internetowa VPN, protonvpn.com
  • Aplikacja internetowa account.protonvpn.com
  • aplikacja internetowa api.protonvpn.ch
  • Aplikacje Proton VPN (Android, iOS/iPad, Linux, macOS i Windows)
  • Rozszerzenia przeglądarki Proton VPN (Android TV, Apple TV, Chrome, Chromebook i Firefox)

Proton Wallet

  • Aplikacja internetowa wallet.proton.me
  • Aplikacje Proton Wallet (Android, iOS)

Lumo od Proton

  • Aplikacja internetowa lumo.proton.me
  • Aplikacje Proton Lumo (Android, iOS)

SimpleLogin

  • Strona internetowa simplelogin.io
  • Aplikacja internetowa app.simplelogin.io
  • Aplikacje mobilne SimpleLogin (Android i iOS)
  • Rozszerzenia przeglądarki SimpleLogin (Chrome, Edge, Firefox i Safari)

Standard Notes

  • Strona internetowa standardnotes.com
  • Aplikacja internetowa app.standardnotes.com
  • Aplikacje Standard Notes (Android, iOS/iPad, Linux, macOS i Windows)

Wszelkie usługi, które nie zostały wyraźnie wymienione powyżej, są wyłączone z zakresu niniejszej polityki. Dla jasności, obejmuje, ale nie ogranicza się do:

  • Spam
  • Technik inżynierii społecznej
  • Ataki typu „odmowa dostępu”.
  • Wstrzykiwanie treści nie wchodzi w zakres, chyba że można wyraźnie wykazać znaczne ryzyko dla firmy Proton lub jej użytkowników
  • Wykonywanie skryptów w domenach sandboxowych
  • Raporty o awariach aplikacji mobilnych, których nie można odtworzyć na aktualnych wersjach systemu operacyjnego lub urządzeniach mobilnych wydanych w ciągu ostatnich dwóch (2) lat kalendarzowych.
  • Kwestie bezpieczeństwa poza zakresem misji Proton
  • Błędy wymagające wyjątkowo mało prawdopodobnych interakcji użytkownika
  • Błędy WordPress (prosimy o zgłaszanie ich do WordPress)
  • Błędy na shop.proton.me (prosimy o zgłaszanie ich do Shopify)
  • Błędy na proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com i help.protonmail.com (prosimy o zgłaszanie ich do Zendesk).
  • Błędy na status.proton.me (prosimy o zgłaszanie ich do Atlassian)
  • Proof of concept, które wymaga fizycznego dostępu do urządzenia
  • Nieaktualne oprogramowanie - z różnych powodów nie zawsze korzystamy z najnowszych wersji oprogramowania, ale korzystamy z oprogramowania, które jest w pełni zaktualizowane.
  • Luki mające wpływ na niezaktualizowane przeglądarki
  • Błędy na partners.proton.me (prosimy o zgłaszanie ich do TUNE)
  • Błędy na localize.proton.me (prosimy o zgłaszanie ich do Discourse)

Zgłaszanie luk w zabezpieczeniach

Zgłoszenia są przyjmowane za pośrednictwem poczty elektronicznej na adres security@proton.me. Akceptowane formaty wiadomości to zwykły tekst, standardowy oraz HTML. Zachęcamy do szyfrowania zgłoszeń za pomocą naszego klucza publicznego PGP podczas zgłaszania luk.

  • Preferujemy zgłoszenia, które zawierają kod proof-of-concept demonstrujący wykorzystanie luki.
  • Zgłoszenia powinny zawierać szczegółowy opis techniczny kroków wymaganych do reprodukcji luki, w tym opis narzędzi potrzebnych do zidentyfikowania lub wykorzystania luki.
  • Obrazki (np. zrzuty ekranu) i inne dokumenty mogą być załączane do zgłoszeń. Pomocne jest, by załączniki miały ilustracyjne nazwy.
  • Prosimy, aby wszelkie skrypty lub kody exploitowe były osadzone w niewykonawczych typach plików.
  • Możemy przetwarzać wszystkie powszechne typy plików i archiwów, w tym kod pocztowy, 7zip i gzip.

Naukowcy mogą przesyłać zgłoszenia anonimowo lub podać dane kontaktowe, w tym sposób i czas, w którym zespół bezpieczeństwa Proton powinien się z nimi skontaktować. Możemy skontaktować się z naukowcami w celu wyjaśnienia aspektów przesłanego zgłoszenia lub zebrania innych informacji technicznych.

Przesyłając zgłoszenie do Proton, potwierdzasz, że zgłoszenie i wszelkie załączniki nie naruszają praw własności intelektualnej osób trzecich. Przyznajesz również Protonowi niewyłączną, wolną od tantiem, ogólnoświatową, wieczystą licencję na używanie, reprodukcję, tworzenie prac pochodnych i publikowanie zgłoszenia oraz wszelkich załączników.


Ujawnianie współpracy

Proton zobowiązuje się do terminowej korekty luk. Będziemy pracować starannie, aby rozwiązać wszelkie problemy, które zagrażają naszej społeczności. Prosimy wszystkich badaczy o cierpliwość, gdy będziemy rozpatrywać zgłoszenia, które nam przesyłacie, ponieważ publiczne ujawnienie luki przy braku dostępnych działań naprawczych prawdopodobnie zwiększy, a nie zmniejszy potencjalne zagrożenie naszej społeczności.

W związku z tym wymagamy, aby powstrzymać się od dzielenia się informacjami o odkrytych lukach przez 120 dni kalendarzowych po otrzymaniu naszego potwierdzenia otrzymania zgłoszenia. Jeśli uważasz, że inni powinni być informowani o luce przed wdrożeniem działań naprawczych, musisz z wyprzedzeniem współpracować z zespołem bezpieczeństwa Proton.

Możemy dzielić się zgłoszeniami o lukach z dotkniętymi dostawcami. Nie ujawnimy imion ani danych kontaktowych badaczy bezpieczeństwa, chyba że uzyskamy wyraźną zgodę.


Masz więcej pytań?

Pytania dotyczące tej polityki można kierować na adres security@proton.me. Proton zachęca researcherów ds. bezpieczeństwa do kontaktu z nami w celu wyjaśnienia dowolnego elementu tej polityki

Prosimy skontaktować się z nami, jeśli nie masz pewności, czy konkretna metoda testowania jest sprzeczna z tą polityką lub nie została przez nią uwzględniona przed rozpoczęciem testów. Zachęcamy również osoby zajmujące się badaniem bezpieczeństwa do skontaktowania się z nami w celu przedstawienia sugestii dotyczących ulepszenia tej polityki.


W przypadku rozbieżności między angielską wersją tej treści a dowolną wersją przetłumaczoną wersja angielska jest wiążąca.