Política de divulgação de vulnerabilidades
Enquanto empresa fundada por cientistas que se conheceram no CERN, acreditamos na revisão pelos pares. É por isso que apoiamos a comunidade de segurança independente para nos ajudar a manter a segurança dos nossos sistemas e proteger informações sensíveis contra a divulgação não autorizada. Encorajamos os investigadores de segurança a contactarem-nos para comunicar potenciais vulnerabilidades identificadas nos produtos Proton.
Esta política especifica:
- Que sistemas e aplicações estão no âmbito
- Que tipos de métodos de investigação de segurança estão abrangidos
- Como nos comunicar potenciais vulnerabilidades de segurança
- A nossa filosofia de divulgação de vulnerabilidades e quanto tempo pediremos que aguarde antes de divulgar publicamente as vulnerabilidades
A Proton confirmará o recibo de relatórios que cumpram a política de divulgação de vulnerabilidades no prazo de cinco (5) dias úteis. Após o recibo, esforçar-nos-emos por validar as submissões, implementar ações corretivas (se apropriado) e informar os investigadores sobre a disposição das vulnerabilidades comunicadas com o mínimo atraso.
Se fizer um esforço de boa-fé para cumprir esta política durante a sua investigação de segurança, consideraremos a sua investigação autorizada de acordo com a política legal de porto seguro da Proton. Trabalharemos consigo para compreender e resolver o problema rapidamente e não recomendaremos nem instauraremos ações legais contra si por qualquer das suas ações relacionadas com a sua investigação.
Métodos de teste
Os investigadores de segurança não devem:
- Testar qualquer sistema que não os estabelecidos na secção Âmbito abaixo
- Divulgar informações sobre vulnerabilidades, exceto conforme estabelecido nas secções Comunicar uma vulnerabilidade e Divulgação abaixo
- Envolver-se em testes físicos de instalações ou recursos
- Envolver-se em engenharia social
- Enviar correio eletrónico não solicitado aos utilizadores da Proton, incluindo mensagens de “phishing”
- Executar ou tentar executar ataques de "negação de serviço" ou de "esgotamento de recursos"
- Introduzir software malicioso nos sistemas da Proton ou de terceiros
- Realizar testes que possam degradar o funcionamento dos sistemas da Proton ou intencionalmente prejudicar, interromper ou desativar sistemas da SEC
- Testar aplicações, sítios web ou serviços de terceiros que integrem ou tenham ligação de ou para sistemas da Proton
- Eliminar, alterar, partilhar, reter ou destruir dados da Proton, ou tornar os dados da Proton inacessíveis
- Utilizar um exploit para exfiltrar dados, estabelecer acesso de linha de comandos, estabelecer uma presença persistente nos sistemas da Proton ou “pivotar” para outros sistemas da Proton
Os investigadores de segurança podem:
- Visualizar ou armazenar dados não públicos da Proton apenas na medida do necessário para documentar a presença de uma potencial vulnerabilidade
Os investigadores de segurança devem:
- Cessar os testes e notificar-nos imediatamente após a descoberta de uma vulnerabilidade
- Cessar os testes e notificar-nos imediatamente após a descoberta de uma exposição de dados não públicos
- Eliminar quaisquer dados não públicos armazenados após comunicar uma vulnerabilidade
Âmbito
Os seguintes sistemas e serviços estão no âmbito:
Proton
- O nosso sítio web, proton.me
- A aplicação web account.proton.me
Proton Calendar
- A aplicação web calendar.proton.me
- Aplicações Proton Calendar (Android e iOS/iPad)
Proton Drive
- A aplicação web drive.proton.me
- Aplicações Proton Drive (Android, iOS/iPad [em beta] e Windows)
Proton Docs
- A aplicação web docs.proton.me
Proton Mail
- A aplicação web mail.proton.me
- A aplicação web api.protonmail.ch
- Aplicações móveis Proton Mail (Android e iOS/iPad)
- Aplicações Proton Bridge (GNU/Linux, macOS e Windows)
- Proton Scribe
Proton Pass
- A aplicação web pass.proton.me
- Aplicações móveis Proton Pass (Android, iOS/iPad)
- Aplicações de ambiente de trabalho Proton Pass (Linux, macOS e Windows)
- Extensões web Proton Pass (Chrome e Firefox)
Proton Authenticator
- Aplicações móveis Proton Authenticator (Android, iOS/iPad)
- Aplicações de ambiente de trabalho Proton Authenticator (Linux, macOS e Windows)
Proton VPN
- O nosso sítio web de VPN, protonvpn.com
- A aplicação web account.protonvpn.com
- A aplicação web api.protonvpn.ch
- Aplicações Proton VPN (Android, iOS/iPad, Linux, macOS e Windows)
- Extensões web Proton VPN (Android TV, Apple TV, Chrome, Chromebook e Firefox)
Proton Wallet
- A aplicação web wallet.proton.me
- Aplicações Proton Wallet (Android, iOS)
Lumo da Proton
- A aplicação web lumo.proton.me
- Aplicações Proton Lumo (Android, iOS)
SimpleLogin
- O sítio web simplelogin.io
- A aplicação web app.simplelogin.io
- As aplicações móveis SimpleLogin (Android e iOS)
- As extensões de navegador SimpleLogin (Chrome, Edge, Firefox e Safari)
Standard Notes
- O sítio web standardnotes.com
- A aplicação web app.standardnotes.com
- Aplicações Standard Notes (Android, iOS/iPad, Linux, macOS e Windows)
Quaisquer serviços não listados explicitamente acima estão excluídos do âmbito desta política. Para maior clareza, isto inclui, mas não se limita a:
- Spam
- Técnicas de engenharia social
- Ataques de negação de serviço
- A injeção de conteúdo está fora do âmbito, a menos que possa demonstrar claramente um risco significativo para a Proton ou para os seus utilizadores
- Execução de scripts em domínios em sandbox
- Relatórios de falhas de aplicações móveis que não sejam reproduzíveis em versões atualizadas do SO ou dispositivos móveis lançados nos últimos dois (2) anos civis
- Problemas de segurança fora do âmbito da missão da Proton
- Erros que exijam interações de utilizador extremamente improváveis
- Erros de WordPress (por favor, comunique-os ao WordPress)
- Erros em shop.proton.me (por favor, comunique-os à Shopify)
- Erros em proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com e help.protonmail.com (por favor, comunique-os à Zendesk)
- Erros em status.proton.me (por favor, comunique-os à Atlassian)
- Provas de conceito que exijam acesso físico ao dispositivo
- Software desatualizado — Por vários motivos, nem sempre executamos as versões de software mais recentes, mas executamos software totalmente corrigido
- Falhas que afetem navegadores desatualizados
- Erros em partners.proton.me (por favor, comunique-os à TUNE)
- Erros em localize.proton.me (por favor, comunique-os ao Discourse)
Comunicar uma vulnerabilidade
Os relatórios são aceites por correio eletrónico em security@proton.me. Os formatos de mensagem aceitáveis são texto simples, texto formatado e HTML. Encorajamo-lo a encriptar as submissões utilizando a nossa chave pública PGP ao submeter vulnerabilidades.
- Preferimos relatórios que incluam código de prova de conceito que demonstre uma exploração da vulnerabilidade.
- Os relatórios devem fornecer uma descrição técnica detalhada dos passos necessários para reproduzir a vulnerabilidade, incluindo uma descrição de quaisquer ferramentas necessárias para identificar ou explorar a vulnerabilidade.
- Podem ser anexadas imagens (por exemplo, capturas de ecrã) e outros documentos aos relatórios. É útil dar nomes ilustrativos aos anexos.
- Pedimos que quaisquer scripts ou código de exploit sejam incorporados em tipos de ficheiro não executáveis.
- Podemos processar todos os tipos comuns de ficheiros e arquivos, incluindo zip, 7zip e gzip.
Os investigadores podem submeter relatórios anonimamente ou fornecer informações de contacto, incluindo como e quando a equipa de Segurança da Proton os deve contactar. Poderemos contactar os investigadores para esclarecer aspetos do relatório submetido ou recolher outras informações técnicas.
Ao submeter um relatório à Proton, afirma que o relatório e quaisquer anexos não violam os direitos de propriedade intelectual de terceiros. Também concede à Proton uma licença não exclusiva, isenta de royalties, mundial e perpétua para usar, reproduzir, criar trabalhos derivados e publicar o relatório e quaisquer anexos.
Divulgação
A Proton está empenhada na correção atempada de vulnerabilidades. Trabalharemos diligentemente para resolver quaisquer problemas que coloquem a nossa comunidade em risco. Pedimos a todos os investigadores que tenham paciência enquanto examinamos os relatórios que nos enviam, uma vez que a divulgação pública de uma vulnerabilidade na ausência de uma ação corretiva prontamente disponível provavelmente aumenta, em vez de diminuir, o risco de segurança da nossa comunidade.
Consequentemente, exigimos que se abstenha de partilhar informações sobre vulnerabilidades descobertas durante 120 dias de calendário após ter recebido a nossa confirmação de recibo do seu relatório. Se acredita que outros devem ser informados sobre a vulnerabilidade antes da nossa implementação de ações corretivas, deve coordenar antecipadamente com a equipa de Segurança da Proton.
Poderemos partilhar relatórios de vulnerabilidade com fornecedores afetados. Não partilharemos os nomes ou dados de contacto dos investigadores de segurança, a menos que seja dada permissão explícita.
Perguntas?
Perguntas relacionadas com esta política podem ser enviadas para security@proton.me. A Proton encoraja os investigadores de segurança a contactarem-nos para esclarecimentos sobre qualquer elemento desta política.
Por favor, contacte-nos se não tiver a certeza se um método de teste específico é inconsistente ou não abordado por esta política antes de iniciar os testes. Convidamos também os investigadores de segurança a contactarem-nos com sugestões para melhorar esta política.
Em caso de discrepância entre a versão inglesa deste conteúdo e qualquer versão traduzida, a versão inglesa prevalecerá.