Proton

Programa de recompensas por deteção de erros da Proton

A comunidade Proton confia nos nossos serviços para manter as suas informações seguras. Levamos essa confiança a sério, e é por isso que nos dedicamos a trabalhar com a comunidade de investigação de segurança para identificar, verificar e resolver potenciais vulnerabilidades.

Se é um investigador de segurança, pode ajudar a tornar os serviços da Proton mais seguros, ser reconhecido como um colaborador de segurança e potencialmente ganhar uma recompensa. E desempenhará um papel na construção de uma internet melhor, onde a privacidade é a predefinição.

Âmbito e regras do programa de recompensas por deteção de erros

Antes de submeter uma vulnerabilidade ao Programa de recompensas por deteção de erros da Proton, deve ler os seguintes documentos:

  • A nossa política de divulgação de vulnerabilidades descreve os métodos de teste aceites pelo programa.

  • A nossa política de porto seguro explica que testes e ações estão protegidos de responsabilidade quando comunica vulnerabilidades ao Programa de recompensas por deteção de erros da Proton

Ler a política de divulgação de vulnerabilidades
Mais sobre a política de porto seguro

Como comunicar uma vulnerabilidade?

Pode enviar relatórios de vulnerabilidade por e-mail para security@proton.me. Pode enviar relatórios utilizando texto simples, texto formatado ou HTML.

Se não utiliza o Proton Mail, encorajamo-lo a encriptar os seus envios utilizando a nossa chave pública PGP.

Vulnerabilidades elegíveis

Provavelmente consideraremos qualquer problema de design ou implementação que afete substancialmente a confidencialidade ou integridade dos dados do utilizador dentro do âmbito do nosso programa de recompensas por deteção de erros. Isto inclui, mas não se limita a:

Aplicações web

  • Cross-site scripting

  • Scripts de conteúdo misto

  • Cross-site request forgery

  • Falhas de autenticação ou autorização

  • Erros de execução de código do lado do servidor

  • Vulnerabilidades da REST API

Aplicações para desktop

  • Execução remota de código através de aplicações Proton

  • Fuga de dados locais, credenciais ou informações do porta-chaves

  • Fraquezas de autenticação e autorização

  • Mecanismos de atualização ou de assinatura de código inseguros

  • Vulnerabilidades de escalada de privilégios local

Aplicações móveis

  • Violação de segurança de dados locais móveis

  • Falhas de autenticação ou autorização

  • Erros de execução de código do lado do servidor

Servidores

  • Escalada de privilégios

  • Exploits SMTP (por exemplo, open relays)

  • Acesso shell não autorizado

  • Acesso API não autorizado

Exclusões do âmbito

Consulte a nossa política de divulgação de vulnerabilidades.

Avaliação de submissões e determinação de recompensas

Reconhecemos e recompensamos a investigação de segurança de boa-fé realizada de acordo com esta política.

Os valores das recompensas são avaliados caso a caso pelo nosso painel de adjudicação, que é composto por membros das equipas de Segurança e Engenharia da Proton. Este painel toma todas as decisões finais relativas à atribuição de recompensas, e os participantes devem concordar em respeitar estas decisões.

A gravidade do impacto nos dados dos utilizadores da Proton é o fator principal na determinação dos valores das recompensas. Os valores listados abaixo representam intervalos de recompensa padrão. Os pagamentos reais podem variar com base em fatores como:

  • Pré-condições: se a exploração depende de requisitos adicionais para além da própria vulnerabilidade, por exemplo:

    • Definições de utilizador incomuns – depende de configurações ou definições de utilizador atípicas.
    • Configurações não predefinidas – requer que o software Proton esteja configurado de uma forma não padrão.
    • Fiabilidade do exploit – o sucesso é inconsistente, por exemplo, sucesso não determinístico, devido a race conditions, baixas taxas de sucesso de RCE.
    • Estado do dispositivo local – requer privilégios elevados, um dispositivo com jailbreak/root e/ou acesso físico.
    • Condições ambientais ou de rede – dependente de condições externas raras ou improváveis.

  • Âmbito do impacto: A medida em que a confidencialidade, integridade ou disponibilidade dos nossos serviços podem ser afetadas.

  • Valor da cadeia de exploit: Se o problema pode contribuir para uma cadeia mais ampla de vulnerabilidades.

  • Explorabilidade: A probabilidade de o problema poder ser utilizado num ataque no mundo real.

  • Novidade: Se o problema é novo, reportado anteriormente ou já público; apenas a primeira submissão válida é elegível.

  • Qualidade da submissão: Deve incluir uma prova de conceito reprodutível ou um caminho claro que mostre o impacto. Código ou pseudocódigo é fortemente preferido.

Em casos excecionais, as recompensas podem ser aumentadas até ao valor máximo da recompensa.

Valores das recompensas

  • Recompensa máxima: 100 000 USD

  • Gravidade crítica: USD 25,000 - USD 50,000

    Descoberta de uma vulnerabilidade que permita o controlo total, sustentado e não autorizado do ambiente de serviço, ou que comprometa a confidencialidade ou integridade dos dados de todos os utilizadores sem exigir condições especiais ou acesso prévio.

  • Gravidade alta: USD 2,500 - USD 25,000

    Descoberta de uma vulnerabilidade que leve a um controlo sustentado e não autorizado sobre uma grande parte do ambiente de serviço, ou a uma violação significativa da confidencialidade ou integridade dos dados que afete um vasto grupo de utilizadores — sem exigir condições especiais ou acesso prévio — mas ainda aquém do comprometimento total do serviço.

  • Gravidade média: USD 1,000 - USD 2,500

    Descoberta de uma vulnerabilidade que permita o controlo não autorizado sobre parte do ambiente de serviço, ou comprometa a integridade ou confidencialidade dos dados do utilizador para um único utilizador ou um pequeno grupo. Alternativamente, vulnerabilidades com impacto mais amplo que exijam interação significativa do utilizador ou condições específicas, mas que ainda levem à exposição de dados sensíveis ou controlos.

  • Gravidade baixa: Caso a caso, sem recompensa monetária por predefinição

    Descoberta de uma vulnerabilidade com um impacto limitado ou com condições improváveis.

Requisitos de elegibilidade

Descobertas que descrevam o comportamento pretendido, recomendações teóricas ou de melhores práticas sem um caminho concreto para a exploração não são elegíveis. O primeiro relator válido de cada vulnerabilidade qualificada recebe o pagamento correspondente após a Proton confirmar o problema e implementar uma correção.

Perguntas

Dúvidas relativas a esta política podem ser enviadas para security@proton.me. A Proton incentiva os investigadores de segurança a contactarem-nos para esclarecimentos sobre qualquer elemento desta política.

Por favor, contacte-nos antes de iniciar os testes se não tiver a certeza se um método de teste específico é inconsistente com esta política ou se não é abordado pela mesma. Convidamos também os investigadores de segurança a contactarem-nos com sugestões para melhorar esta política.

Contacte-nos