Página inicial da Proton

Programa de recompensas por deteção de erros da Proton

A comunidade Proton confia nos nossos serviços para manter as suas informações seguras. Levamos essa confiança a sério, e é por isso que nos dedicamos a trabalhar com a comunidade de investigação de segurança para identificar, verificar e resolver potenciais vulnerabilidades.

Se for um investigador de segurança, pode ajudar a tornar os serviços da Proton mais seguros, ser reconhecido como um colaborador de segurança e, potencialmente, ganhar uma recompensa. E desempenhará um papel na construção de uma internet melhor, onde a privacidade é a predefinição.

Âmbito e regras do programa de recompensas por deteção de erros

Antes de submeter uma vulnerabilidade ao Programa de recompensas por deteção de erros da Proton, deve ler os seguintes documentos:

  • A nossa política de divulgação de vulnerabilidades descreve os métodos de teste aceites pelo programa.

  • A nossa política de porto seguro explica que testes e ações estão protegidos de responsabilidade civil quando comunica vulnerabilidades ao Programa de recompensas por deteção de erros da Proton

Como comunicar uma vulnerabilidade?

Pode submeter relatórios de vulnerabilidade por e-mail para security@proton.me. Pode submeter relatórios utilizando texto simples, texto formatado ou HTML.

Se não utilizar o Proton Mail, encorajamo-lo a encriptar as suas submissões utilizando a nossa chave pública PGP.

Vulnerabilidades elegíveis

Provavelmente consideraremos qualquer problema de design ou implementação que afete substancialmente a confidencialidade ou integridade dos dados do utilizador no âmbito do nosso programa de recompensas por deteção de erros. Isto inclui, mas não se limita a:

Aplicações web

  • Cross-site scripting

  • Scripts de conteúdo misto

  • Cross-site request forgery

  • Falhas de autenticação ou autorização

  • Erros de execução de código do lado do servidor

  • Vulnerabilidades da API REST

Aplicações para desktop

  • Execução remota de código através de aplicações Proton

  • Fuga de dados locais, credenciais ou informações do porta-chaves (keychain)

  • Fraquezas de autenticação e autorização

  • Mecanismos de atualização ou assinatura de código inseguros

  • Vulnerabilidades de escalonamento de privilégios locais

Aplicações móveis

  • Incidente de segurança de dados locais móveis

  • Falhas de autenticação ou autorização

  • Erros de execução de código do lado do servidor

Servidores

  • Escalonamento de privilégios

  • Explorações SMTP (por exemplo, open relays)

  • Acesso não autorizado à shell

  • Acesso não autorizado à API

Exclusões do âmbito

Avaliação de submissões e determinação de recompensas

Reconhecemos e recompensamos a investigação de segurança de boa-fé realizada de acordo com esta política.

Os valores das recompensas são avaliados caso a caso pelo nosso painel de adjudicação, composto por membros das equipas de Segurança e Engenharia da Proton. Este painel toma todas as decisões finais relativas à atribuição de recompensas, e os participantes devem concordar em respeitar estas decisões.

A gravidade do impacto nos dados dos utilizadores da Proton é o fator principal na determinação dos valores das recompensas. Os valores listados abaixo representam os intervalos de recompensa padrão. Os pagamentos reais podem variar com base em fatores como:

  • Pré-condições: se a exploração depende de requisitos adicionais para além da própria vulnerabilidade, por exemplo:

    • Definições de utilizador incomuns – depende de configurações ou definições de utilizador atípicas.
    • Configurações não predefinidas – requer que o software da Proton esteja configurado de uma forma não padrão.
    • Fiabilidade da exploração – o sucesso é inconsistente, por exemplo, sucesso não determinístico, devido a condições de corrida (race conditions), baixas taxas de sucesso de RCE.
    • Estado do dispositivo local – requer privilégios elevados, um dispositivo com jailbreak/root, e/ou acesso físico.
    • Condições ambientais ou de rede – dependente de condições externas raras ou improváveis.
  • Âmbito do impacto: A medida em que a confidencialidade, integridade ou disponibilidade dos nossos serviços pode ser afetada.

  • Valor da cadeia de exploração: Se o problema pode contribuir para uma cadeia mais ampla de vulnerabilidades.

  • Explorabilidade: A probabilidade de o problema poder ser utilizado num ataque no mundo real.

  • Novidade: Se o problema é novo, previamente comunicado ou já público; apenas a primeira submissão válida é elegível.

  • Qualidade da submissão: Deve incluir uma prova de conceito reprodutível ou um caminho claro que mostre o impacto. Código ou pseudocódigo é fortemente preferido.

Em casos excecionais, as recompensas podem ser aumentadas até ao montante máximo da recompensa.

Valores das recompensas

  • Recompensa máxima: 100 000 USD

  • Gravidade crítica: 25 000 USD - 50 000 USD

    Descoberta de uma vulnerabilidade que permita o controlo total, sustentado e não autorizado do ambiente de serviço, ou que comprometa a confidencialidade ou integridade dos dados de todos os utilizadores sem exigir condições especiais ou acesso prévio.

  • Gravidade alta: 2 500 USD - 25 000 USD

    Descoberta de uma vulnerabilidade que leve a um controlo não autorizado sustentado sobre uma grande parte do ambiente de serviço, ou a um incidente significativo de confidencialidade ou integridade de dados afetando um vasto grupo de utilizadores — sem exigir condições especiais ou acesso prévio — mas ainda aquém do comprometimento total do serviço.

  • Gravidade média: 1 000 USD - 2 500 USD

    Descoberta de uma vulnerabilidade que permita o controlo não autorizado sobre parte do ambiente de serviço, ou comprometa a integridade ou confidencialidade dos dados de utilizador para um único utilizador ou um pequeno grupo. Em alternativa, vulnerabilidades com impacto mais amplo que exijam interação significativa do utilizador ou condições específicas, mas que ainda levem à exposição de dados sensíveis ou controlos.

  • Gravidade baixa: Caso a caso, sem recompensa monetária por predefinição

    Descoberta de uma vulnerabilidade com um impacto limitado ou com condições improváveis.

Requisitos de elegibilidade

Descobertas que descrevam o comportamento pretendido, recomendações teóricas ou de melhores práticas sem um caminho concreto para a exploração não são elegíveis. O primeiro relator válido de cada vulnerabilidade qualificada recebe o pagamento correspondente após a Proton confirmar o problema e implementar uma correção.

Perguntas

Perguntas relacionadas com esta política podem ser enviadas para security@proton.me. A Proton encoraja os investigadores de segurança a contactarem-nos para esclarecimentos sobre qualquer elemento desta política.

Por favor, contacte-nos se não tiver a certeza se um método de teste específico é inconsistente com ou não abordado por esta política antes de iniciar os testes. Convidamos também os investigadores de segurança a contactarem-nos com sugestões para melhorar esta política.