Proton

Program Proton de recompense pentru remediere erori

Comunitatea Proton are încredere în serviciile noastre pentru a-și păstra informațiile în siguranță. Luăm această încredere în serios, motiv pentru care suntem dedicați să lucrăm cu comunitatea de cercetare în domeniul securității pentru a identifica, verifica și rezolva potențialele vulnerabilități.

Dacă sunteți cercetător în domeniul securității, puteți contribui la creșterea siguranței serviciilor Proton, puteți fi recunoscut drept contribuitor la securitate și, eventual, puteți câștiga o recompensă. Și veți face parte din construirea unui internet mai bun, unde confidențialitatea este implicită.

Domeniul de aplicare și regulile programului de recompense pentru remediere erori

Înainte de a trimite o vulnerabilitate la Programul Proton de recompense pentru remediere erori, ar trebui să citiți următoarele documente:

  • Politica noastră de divulgare a vulnerabilităților descrie metodele de testare acceptate ale programului.

  • Politica noastră de siguranță explică ce teste și acțiuni sunt protejate de răspundere atunci când raportați vulnerabilități la Programul Proton de recompense pentru remediere erori

Citiți politica de divulgare a vulnerabilităților
Mai multe despre politica sferei de securitate

Cum să raportați o vulnerabilitate?

Puteți trimite rapoarte de vulnerabilitate prin e-mail la security@proton.me. Puteți trimite rapoarte folosind text simplu, text îmbogățit sau HTML.

Dacă nu utilizați Proton Mail, vă încurajăm să vă criptați mesajele trimise folosind cheia noastră publică PGP.

Vulnerabilități calificabile

Probabil vom lua în considerare orice problemă de proiectare sau implementare care afectează substanțial confidențialitatea sau integritatea datelor utilizatorilor din cadrul domeniului de aplicare al programului nostru de recompense pentru remediere erori. Aceasta include, dar nu se limitează la:

Aplicații web

  • Scripturi între site-uri.

  • Scripturi cu conținut mixt.

  • Cerere falsă între site-uri.

  • Defecte de autentificare sau autorizare.

  • Erori de execuție cod de pe server.

  • Vulnerabilități API REST.

Aplicații pentru desktop

  • Executarea codului de la distanță prin aplicațiile Proton

  • Scurgeri de date locale, acreditări sau informații din keychain

  • Puncte slabe de autentificare și autorizare

  • Mecanisme nesigure de actualizare sau semnare a codului

  • Vulnerabilități locale de escaladare a privilegiilor

Aplicații pentru mobile

  • Încălcarea securității datelor locale pe mobil

  • Defecte de autentificare sau autorizare.

  • Erori de execuție cod de pe server.

Servere

  • Escaladare privilegii.

  • Exploatări SMTP (de exemplu, open relays)

  • Acces neautorizat în shell.

  • Acces neautorizat API.

Excluderi din domeniul de aplicare

Vă rugăm să consultați politica noastră de divulgare a vulnerabilităților.

Evaluarea trimiterilor și stabilirea recompenselor

Recunoaștem și recompensăm cercetarea de securitate de bună-credință desfășurată în conformitate cu această politică.

Sumele recompenselor sunt evaluate de la caz la caz de către comisia noastră de judecată, care este formată din membri ai echipei Proton de securitate și inginerie. Această comisie ia toate deciziile finale cu privire la acordarea recompenselor, iar participanții trebuie să fie de acord să respecte aceste decizii.

Gravitatea impactului asupra datelor utilizatorilor Proton este factorul principal în stabilirea sumelor recompenselor. Cifrele enumerate mai jos reprezintă intervalele standard de recompensare. Plățile efective pot varia în funcție de factori precum:

  • Precondiții: dacă exploatarea depinde de cerințe suplimentare dincolo de vulnerabilitatea în sine, de exemplu:

    • Setări neobișnuite ale utilizatorului – se bazează pe configurări sau setări atipice ale utilizatorului.
    • Configurări care nu sunt implicite – necesită ca software-ul Proton să fie configurat într-un mod nestandard.
    • Fiabilitatea exploatării – succesul este inconsecvent, de exemplu, succes nedeterminist, din cauza condițiilor de cursă, rate scăzute de succes RCE.
    • Starea dispozitivului local – necesită privilegii ridicate, un dispozitiv jailbroken/rooted și/sau acces fizic.
    • Condiții de mediu sau de rețea – dependente de condiții externe rare sau improbabile.

  • Domeniul impactului: Măsura în care confidențialitatea, integritatea sau disponibilitatea serviciilor noastre pot fi afectate.

  • Valoarea lanțului de exploatare: Dacă problema poate contribui la un lanț mai larg de vulnerabilități.

  • Exploatabilitate: Probabilitatea ca problema să poată fi utilizată într-un atac din lumea reală.

  • Noutate: Dacă problema este nouă, raportată anterior sau deja publică; doar prima trimitere validă este eligibilă.

  • Calitatea trimiterii: Trebuie să includă o dovadă de concept reproductibilă sau o cale clară care arată impactul. Codul sau pseudocodul este preferat.

În cazuri excepționale, recompensele pot fi majorate până la suma maximă a recompensei.

Sumele recompenselor

  • Recompensă maximă: 100.000 USD

  • Severitate critică: 25.000 USD - 50.000 USD

    Descoperirea unei vulnerabilități care permite controlul neautorizat complet și susținut al mediului de servicii sau compromite confidențialitatea ori integritatea datelor tuturor utilizatorilor, fără a necesita condiții speciale sau acces prealabil.

  • Severitate ridicată: 2.500 USD - 25.000 USD

    Descoperirea unei vulnerabilități care duce la un control neautorizat susținut asupra unei mari părți a mediului de servicii sau la o încălcare semnificativă a confidențialității sau integrității datelor care afectează un grup larg de utilizatori — fără a necesita condiții speciale sau acces prealabil — dar care nu reprezintă o compromitere completă a serviciului.

  • Severitate medie: 1.000 USD - 2.500 USD

    Descoperirea unei vulnerabilități care permite controlul neautorizat asupra unei părți a mediului de servicii sau compromite integritatea ori confidențialitatea datelor utilizatorului pentru un singur utilizator sau un grup mic. Alternativ, vulnerabilități cu impact mai larg care necesită o interacțiune semnificativă a utilizatorului sau condiții specifice, dar care duc totuși la expunerea datelor sensibile sau a controalelor.

  • Severitate scăzută: De la caz la caz, nicio recompensă monetară implicită

    Descoperirea unei vulnerabilități cu impact limitat sau cu condiții improbabile.

Cerințe de eligibilitate

Constatările care descriu comportamentul intenționat, recomandările teoretice sau de bune practici fără o cale concretă de exploatare nu sunt eligibile. Primul raportor valid al fiecărei vulnerabilități eligibile primește plata corespunzătoare după ce Proton confirmă problema și implementează o remediere.

Întrebări

Întrebările referitoare la această politică pot fi trimise la security@proton.me. Proton încurajează cercetătorii de securitate să ne contacteze pentru clarificări cu privire la orice element al acestei politici.

Vă rugăm să ne contactați dacă nu știți dacă o anumită metodă de testare nu este în concordanță cu această politică sau nu este abordată de această politică înainte de a începe testarea. De asemenea, invităm cercetătorii de securitate să ne contacteze cu sugestii pentru îmbunătățirea acestei politici.

Contactați-ne