Proton

Política de divulgação de vulnerabilidade

Última modificação: 25 de julho de 2024

Como empresa fundada por cientistas que se conheceram no CERN, acreditamos na revisão de pares. É por isso que apoiamos a comunidade de segurança independente para nos ajudar a manter a segurança de nossos sistemas e proteger informações confidenciais contra divulgação não autorizada. Incentivamos os pesquisadores de segurança a entrar em contato conosco para relatar possíveis vulnerabilidades identificadas nos produtos Proton.

Essa política específica:

  • Quais sistemas e aplicativos estão no escopo
  • Quais tipos de métodos de pesquisa de segurança são abordados
  • Como relatar possíveis vulnerabilidades de segurança para nós
  • Nossa filosofia de divulgação de vulnerabilidades e quanto tempo pediremos que você espere antes de divulgá-las publicamente

A Proton confirmará o recebimento de relatórios que estejam em conformidade com a política de divulgação de vulnerabilidades em até cinco (5) dias úteis. Após o recebimento, faremos o possível para validar os envios, implementar ações corretivas (se apropriado) e informar os pesquisadores sobre a disposição das vulnerabilidades relatadas com o mínimo de atraso.

Se você se esforçar de boa-fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa como autorizada de acordo com a política de porto seguro legal da Proton. Trabalharemos com você para entender e resolver o problema rapidamente e não recomendaremos nem tomaremos medidas legais contra você por nenhuma de suas ações relacionadas à sua pesquisa.

Métodos de teste

Os pesquisadores de segurança não devem:

  • Testar qualquer sistema que não seja os sistemas definidos na seção Escopo abaixo
  • Divulgar informações de vulnerabilidade, exceto conforme estabelecido nas seções Relatar uma vulnerabilidade e Divulgação abaixo
  • Envolver-se em testes físicos de instalações ou recursos
  • Envolver-se em engenharia social
  • Enviar correio eletrônico não solicitado aos usuários da Proton, incluindo mensagens de “phishing
  • Executar ou tentar executar ataques de “negação de serviço” ou “exaustão de recursos”
  • Introduzir software malicioso nos sistemas da Proton ou de terceiros
  • Realizar testes que possam degradar a operação dos sistemas Proton ou prejudicar, interromper ou desativar intencionalmente os sistemas de SEC
  • Testar aplicativos, sites ou serviços de terceiros que se integrem ou se vinculem aos sistemas da Proton
  • Excluir, alterar, compartilhar, reter ou destruir dados da Proton, ou tornar os dados da Proton inacessíveis
  • Usar um exploit para exfiltrar dados, estabelecer acesso à linha de comando, estabelecer uma presença persistente nos sistemas da Proton ou “pivotar” para outros sistemas da Proton

Os pesquisadores de segurança podem:

  • Visualizar ou armazenar dados não públicos da Proton somente na medida necessária para documentar a presença de uma possível vulnerabilidade

Os pesquisadores de segurança devem:

  • Interromper os testes e nos notificar imediatamente após a descoberta de uma vulnerabilidade
  • Interromper os testes e nos notificar imediatamente após a descoberta de uma exposição de dados não públicos
  • Eliminar todos os dados não públicos armazenados ao relatar uma vulnerabilidade

Alcance

Os seguintes sistemas e serviços estão no escopo:

  • Nosso site, proton.me
  • Aplicativo web account.proton.me
  • Proton Mail
  • Aplicativo web mail.proton.me
  • Aplicativos Proton Mail para Android e iOS
  • api.protonmail.ch
  • Proton Drive
  • Aplicativo web drive.proton.me
  • Aplicativos do Proton Drive para Windows e Android
  • Aplicativo do Proton Drive para iOS/iPad app (beta)
  • Proton Calendar
  • Aplicativo web calendar.proton.me
  • Aplicativo do Proton Calendar para iOS/iPad app (beta)
  • SimpleLogin
  • Proton VPN
  • Nosso site da VPN, protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch
  • Aplicativos Proton VPN para Windows, macOS, Linux, iOS/iPad e Android
  • Proton Bridge para Windows, macOS e GNU/Linux
  • Proton Pass
  • Aplicativos móveis do Proton Pass (Android e iOS)
  • Extensões web do Proton Pass
  • Proton Wallet
  • Aplicativo web wallet.proton.me
  • Proton Scribe

Todos os serviços não listados explicitamente acima estão excluídos do escopo desta política. Para fins de clareza, isso inclui, mas não se limita a:

  • Spam
  • Técnicas de engenharia social
  • Ataques de negação de serviço
  • A injeção de conteúdo está fora do escopo, a menos que você possa demonstrar claramente um risco significativo para a Proton ou seus usuários
  • Execução de scripts em domínios protegidos por sandbox
  • Relatórios de falhas de aplicativos móveis que não podem ser reproduzidos em versões atualizadas do sistema operacional ou em dispositivos móveis lançados nos últimos dois (2) anos civis
  • Questões de segurança fora do escopo da missão do Proton Mail
  • Falhas que exigem interações extremamente improváveis com o usuário
  • Erros no WordPress (reporte ao WordPress)
  • Falhas em shop.proton.me (informe-os à Shopify)
  • Falhas em proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com e help.protonmail.com (informe-os ao Zendesk)
  • Falhas em status.proton.me (informe-os à Atlassian)
  • Prova de conceitos que exigem acesso físico ao dispositivo
  • Software desatualizado - Por vários motivos, nem sempre executamos as versões mais recentes de software, mas executamos software totalmente corrigido
  • Falhas que afetam os navegadores desatualizados
  • Erros no partners.proton.me (reporte ao TUNE)
  • Erros no localize.proton.me (reporte ao Discourse)

Reportar vulnerabilidade

Os relatórios são aceitos por correio eletrônico em security@proton.me. Os formatos de mensagem aceitáveis são textos simples, texto formatado e HTML. Recomendamos que você criptografe os envios usando nossa chave pública PGP ao enviar vulnerabilidades.

  • Damos preferência a relatórios que incluam códigos de prova de conceito que demonstrem a exploração da vulnerabilidade.
  • Os relatórios devem fornecer uma descrição técnica detalhada das etapas necessárias para reproduzir a vulnerabilidade, incluindo uma descrição de quaisquer ferramentas necessárias para identificar ou explorar a vulnerabilidade.
  • Imagens (por exemplo, capturas de tela) e outros documentos podem ser anexados aos relatórios. É útil dar nomes ilustrativos aos anexos.
  • Solicitamos que todos os scripts ou códigos de exploração sejam incorporados em tipos de arquivos não executáveis.
  • Podemos processar todos os tipos de arquivos e arquivos comuns, incluindo zip, 7zip e gzip.

Os pesquisadores podem enviar relatórios anonimamente ou fornecer informações de contato, incluindo como e quando a equipe da Proton Security deve entrar em contato com eles. Podemos entrar em contato com os pesquisadores para esclarecer aspectos do relatório enviado ou coletar outras informações técnicas.

Ao enviar um relatório à Proton, você afirma que o relatório e quaisquer anexos não violam os direitos de propriedade intelectual de terceiros. Você também concede à Proton uma licença não exclusiva, isenta de royalties, mundial e perpétua para usar, reproduzir, criar trabalhos derivados e publicar o relatório e quaisquer anexos.

Divulgação

A Proton está comprometida com a correção oportuna de vulnerabilidades. Trabalharemos diligentemente para resolver quaisquer problemas que coloquem nossa comunidade em risco. Pedimos a todos os pesquisadores que tenham paciência ao examinarmos os relatórios que nos enviam, pois, a divulgação pública de uma vulnerabilidade na ausência de uma ação corretiva prontamente disponível provavelmente aumenta, em vez de diminuir, o risco de segurança da nossa comunidade.

Dessa forma, exigimos que você não compartilhe informações sobre vulnerabilidades descobertas por 120 dias corridos após ter recebido nossa confirmação de recebimento do seu relatório. Se você acredita que outras pessoas devam ser informadas sobre a vulnerabilidade antes de implementarmos as ações corretivas, você deve coordenar antecipadamente com a equipe de segurança da Proton.

Podemos compartilhar relatórios de vulnerabilidade com os fornecedores afetados. Não compartilharemos os nomes nem os dados de contato dos pesquisadores de segurança, a menos que tenhamos dado permissão explícita.

Tem outras dúvidas?

Perguntas relacionadas a esta política podem ser enviadas para security@proton.me. A Proton incentiva os pesquisadores de segurança a entrar em contato conosco para obter esclarecimentos sobre qualquer elemento desta política.

Entre em contato conosco se não tiver certeza de que um método de teste específico é inconsistente ou não é abordado por esta política antes de iniciar o teste. Também convidamos os pesquisadores de segurança a entrar em contato conosco com sugestões para melhorar esta política.