Programa de recompensas por deteção de erros da Proton
A comunidade Proton confia nos nossos serviços para manter as suas informações seguras. Levamos essa confiança a sério, e é por isso que nos dedicamos a trabalhar com a comunidade de investigação de segurança para identificar, verificar e resolver potenciais vulnerabilidades.
Se for um investigador de segurança, pode ajudar a tornar os serviços da Proton mais seguros, ser reconhecido como um colaborador de segurança e, potencialmente, ganhar uma recompensa. E desempenhará um papel na construção de uma internet melhor, onde a privacidade é a predefinição.

Âmbito e regras do programa de recompensas por deteção de erros
Antes de submeter uma vulnerabilidade ao Programa de recompensas por deteção de erros da Proton, deve ler os seguintes documentos:
A nossa política de divulgação de vulnerabilidades descreve os métodos de teste aceites pelo programa.
A nossa política de porto seguro explica que testes e ações estão protegidos de responsabilidade civil quando comunica vulnerabilidades ao Programa de recompensas por deteção de erros da Proton
Como comunicar uma vulnerabilidade?
Pode submeter relatórios de vulnerabilidade por e-mail para security@proton.me. Pode submeter relatórios utilizando texto simples, texto formatado ou HTML.
Se não utilizar o Proton Mail, encorajamo-lo a encriptar as suas submissões utilizando a nossa chave pública PGP.
Vulnerabilidades elegíveis
Provavelmente consideraremos qualquer problema de design ou implementação que afete substancialmente a confidencialidade ou integridade dos dados do utilizador no âmbito do nosso programa de recompensas por deteção de erros. Isto inclui, mas não se limita a:
Aplicações web
Cross-site scripting
Scripts de conteúdo misto
Cross-site request forgery
Falhas de autenticação ou autorização
Erros de execução de código do lado do servidor
Vulnerabilidades da API REST
Aplicações para desktop
Execução remota de código através de aplicações Proton
Fuga de dados locais, credenciais ou informações do porta-chaves (keychain)
Fraquezas de autenticação e autorização
Mecanismos de atualização ou assinatura de código inseguros
Vulnerabilidades de escalonamento de privilégios locais
Aplicações móveis
Incidente de segurança de dados locais móveis
Falhas de autenticação ou autorização
Erros de execução de código do lado do servidor
Servidores
Escalonamento de privilégios
Explorações SMTP (por exemplo, open relays)
Acesso não autorizado à shell
Acesso não autorizado à API
Avaliação de submissões e determinação de recompensas
Reconhecemos e recompensamos a investigação de segurança de boa-fé realizada de acordo com esta política.
Os valores das recompensas são avaliados caso a caso pelo nosso painel de adjudicação, composto por membros das equipas de Segurança e Engenharia da Proton. Este painel toma todas as decisões finais relativas à atribuição de recompensas, e os participantes devem concordar em respeitar estas decisões.
A gravidade do impacto nos dados dos utilizadores da Proton é o fator principal na determinação dos valores das recompensas. Os valores listados abaixo representam os intervalos de recompensa padrão. Os pagamentos reais podem variar com base em fatores como:
Pré-condições: se a exploração depende de requisitos adicionais para além da própria vulnerabilidade, por exemplo:
- Definições de utilizador incomuns – depende de configurações ou definições de utilizador atípicas.
- Configurações não predefinidas – requer que o software da Proton esteja configurado de uma forma não padrão.
- Fiabilidade da exploração – o sucesso é inconsistente, por exemplo, sucesso não determinístico, devido a condições de corrida (race conditions), baixas taxas de sucesso de RCE.
- Estado do dispositivo local – requer privilégios elevados, um dispositivo com jailbreak/root, e/ou acesso físico.
- Condições ambientais ou de rede – dependente de condições externas raras ou improváveis.
Âmbito do impacto: A medida em que a confidencialidade, integridade ou disponibilidade dos nossos serviços pode ser afetada.
Valor da cadeia de exploração: Se o problema pode contribuir para uma cadeia mais ampla de vulnerabilidades.
Explorabilidade: A probabilidade de o problema poder ser utilizado num ataque no mundo real.
Novidade: Se o problema é novo, previamente comunicado ou já público; apenas a primeira submissão válida é elegível.
Qualidade da submissão: Deve incluir uma prova de conceito reprodutível ou um caminho claro que mostre o impacto. Código ou pseudocódigo é fortemente preferido.
Em casos excecionais, as recompensas podem ser aumentadas até ao montante máximo da recompensa.
Valores das recompensas
Recompensa máxima: 100 000 USD
Gravidade crítica: 25 000 USD - 50 000 USD
Descoberta de uma vulnerabilidade que permita o controlo total, sustentado e não autorizado do ambiente de serviço, ou que comprometa a confidencialidade ou integridade dos dados de todos os utilizadores sem exigir condições especiais ou acesso prévio.
Gravidade alta: 2 500 USD - 25 000 USD
Descoberta de uma vulnerabilidade que leve a um controlo não autorizado sustentado sobre uma grande parte do ambiente de serviço, ou a um incidente significativo de confidencialidade ou integridade de dados afetando um vasto grupo de utilizadores — sem exigir condições especiais ou acesso prévio — mas ainda aquém do comprometimento total do serviço.
Gravidade média: 1 000 USD - 2 500 USD
Descoberta de uma vulnerabilidade que permita o controlo não autorizado sobre parte do ambiente de serviço, ou comprometa a integridade ou confidencialidade dos dados de utilizador para um único utilizador ou um pequeno grupo. Em alternativa, vulnerabilidades com impacto mais amplo que exijam interação significativa do utilizador ou condições específicas, mas que ainda levem à exposição de dados sensíveis ou controlos.
Gravidade baixa: Caso a caso, sem recompensa monetária por predefinição
Descoberta de uma vulnerabilidade com um impacto limitado ou com condições improváveis.
Requisitos de elegibilidade
Descobertas que descrevam o comportamento pretendido, recomendações teóricas ou de melhores práticas sem um caminho concreto para a exploração não são elegíveis. O primeiro relator válido de cada vulnerabilidade qualificada recebe o pagamento correspondente após a Proton confirmar o problema e implementar uma correção.
Perguntas
Perguntas relacionadas com esta política podem ser enviadas para security@proton.me. A Proton encoraja os investigadores de segurança a contactarem-nos para esclarecimentos sobre qualquer elemento desta política.
Por favor, contacte-nos se não tiver a certeza se um método de teste específico é inconsistente com ou não abordado por esta política antes de iniciar os testes. Convidamos também os investigadores de segurança a contactarem-nos com sugestões para melhorar esta política.