Proton
Ultima modificare: 30 iulie 2025

Politica de divulgare a vulnerabilităților

Ca o companie fondată de oameni de știință care s-au întâlnit la CERN, credem în evaluarea colegială. De aceea sprijinim comunitatea independentă de securitate pentru a ne ajuta să menținem securitatea sistemelor noastre și să protejăm informațiile sensibile împotriva divulgării neautorizate. Încurajăm cercetătorii de securitate să ne contacteze pentru a raporta potențialele vulnerabilități identificate în produsele Proton.

Această politică specifică:

  • Ce sisteme și aplicații sunt incluse în domeniul de aplicare
  • Ce tipuri de metode de cercetare a securității sunt acoperite
  • Cum să ne raportați potențialele vulnerabilități de securitate
  • Filosofia noastră de dezvăluire a vulnerabilităților și cât timp vă vom cere să așteptați înainte de a dezvălui în mod public vulnerabilitățile

Proton va confirma primirea rapoartelor care respectă politica de dezvăluire a vulnerabilităților în termen de cinci (5) zile lucrătoare. La primire, ne vom strădui să validăm trimiterile, să implementăm acțiuni corective (dacă este cazul) și să informăm cercetătorii cu privire la starea vulnerabilităților raportate cu o întârziere minimă.

Dacă faceți un efort de bună-credință pentru a respecta această politică în timpul cercetării dvs. de securitate, vom considera cercetarea dvs. ca fiind autorizată conform politicii legale de „safe harbor” a Proton. Vom colabora cu dvs. pentru a înțelege și rezolva problema rapid și nu vom recomanda sau întreprinde acțiuni legale împotriva dvs. pentru niciuna dintre acțiunile dvs. legate de cercetarea dvs.

Metode de testare

Cercetătorii de securitate nu trebuie să:

  • Testeze orice alt sistem decât sistemele menționate în secțiunea „Domeniul de aplicare” de mai jos
  • Dezvăluie informații despre vulnerabilități, cu excepția cazurilor prevăzute în secțiunile „Raportarea unei vulnerabilități” și „Divulgare” de mai jos
  • Se implice în testarea fizică a instalațiilor sau resurselor
  • Se implice în inginerie socială
  • Trimită e-mailuri nesolicitate utilizatorilor Proton, inclusiv mesaje de „phishing”
  • Execute sau să încerce să execute atacuri de „refuzare a serviciului” sau de „epuizare a resurselor”
  • Introducă software rău intenționat în sistemele Proton sau ale oricărei terțe părți
  • Efectueze teste care ar putea degrada funcționarea sistemelor Proton sau afecta, întrerupe sau dezactiva în mod intenționat sistemele SEC
  • Testeze aplicații, site-uri web sau servicii terțe care se integrează cu sau au legături către sau dinspre sistemele Proton
  • Șteargă, modifice, partajeze, păstreze sau distrugă datele Proton sau să facă datele Proton inaccesibile
  • Utilizeze un exploit pentru a exfiltra date, a stabili accesul la linia de comandă, a stabili o prezență persistentă pe sistemele Proton sau a „pivota” către alte sisteme Proton

Cercetătorii de securitate pot să:

  • Vizualizeze sau să stocheze datele nepublice Proton numai în măsura în care este necesar pentru a documenta prezența unei potențiale vulnerabilități

Cercetătorii de securitate trebuie să:

  • Înceteze testarea și să ne notifice imediat după descoperirea unei vulnerabilități
  • Înceteze testarea și să ne notifice imediat după descoperirea unei expuneri a datelor nepublice
  • Elimine orice date nepublice stocate la raportarea unei vulnerabilități

Domeniul de aplicare

Următoarele sisteme și servicii sunt în domeniul de aplicare:

Proton

  • Site-ul nostru web, proton.me
  • Aplicația web account.proton.me

Proton Calendar

  • Aplicația web calendar.proton.me
  • Aplicațiile Proton Calendar (Android și iOS/iPad)

Proton Drive

  • Aplicația web drive.proton.me
  • Aplicațiile Proton Drive (Android, iOS/iPad [în beta] și Windows)

Proton Docs

  • Aplicația web docs.proton.me

Proton Mail

  • Aplicația web mail.proton.me
  • Aplicația web api.protonmail.ch
  • Aplicațiile mobile Proton Mail (Android și iOS/iPad)
  • Aplicațiile Proton Bridge (GNU/Linux, macOS și Windows)
  • Proton Scribe

Proton Pass

  • Aplicația web pass.proton.me
  • Aplicațiile mobile Proton Pass (Android, iOS/iPad)
  • Aplicațiile desktop Proton Pass (Linux, macOS și Windows)
  • Extensiile web Proton Pass (Chrome și Firefox)

Proton Authenticator

  • Aplicațiile mobile Proton Authenticator (Android, iOS/iPad)
  • Aplicațiile desktop Proton Authenticator (Linux, macOS și Windows)

Proton VPN

  • Site-ul web VPN, protonvpn.com.
  • Aplicația web account.protonvpn.com.
  • aplicația web api.protonvpn.ch.
  • Aplicațiile Proton VPN (Android, iOS/iPad, Linux, macOS și Windows)
  • Extensiile web Proton VPN (Android TV, Apple TV, Chrome, Chromebook și Firefox)

Proton Wallet

  • Aplicația web wallet.proton.me.
  • Aplicațiile Proton Wallet (Android, iOS)

Lumo de la Proton

  • Aplicația web lumo.proton.me
  • Aplicațiile Proton Lumo (Android, iOS)

SimpleLogin

  • Site-ul web simplelogin.io
  • Aplicația web app.simplelogin.io.
  • Aplicațiile mobile SimpleLogin (Android și iOS)
  • Extensiile de browser SimpleLogin (Chrome, Edge, Firefox și Safari)

Standard Notes

  • Site-ul web standardnotes.com
  • Aplicația web app.standardnotes.com.
  • Aplicațiile Standard Notes (Android, iOS/iPad, Linux, macOS și Windows)

Orice servicii care nu sunt enumerate explicit mai sus sunt excluse din domeniul de aplicare al acestei politici. Pentru claritate, acestea includ, dar nu se limitează la:

  • Mesaje nedorite.
  • Tehnici de inginerie socială.
  • Atacuri de refuzare a serviciului.
  • Injectarea de conținut este în afara domeniului de aplicare, cu excepția cazului în care puteți demonstra în mod clar un risc semnificativ pentru Proton sau utilizatorii săi.
  • Executarea scripturilor pe domenii izolate.
  • Rapoarte de blocare a aplicațiilor mobile care nu sunt reproductibile pe versiuni actualizate ale sistemului de operare sau pe dispozitive mobile lansate în ultimii doi (2) ani calendaristici.
  • Probleme de securitate în afara domeniului misiunii Proton
  • Erori care necesită interacțiuni extrem de puțin probabile ale utilizatorului.
  • Erori WordPress (vă rugăm să le raportați la WordPress).
  • Erori pe magazinul shop.proton.me (vă rugăm să le raportați la Shopify).
  • Erori pe proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com și help.protonmail.com (vă rugăm să le raportați la Zendesk).
  • Erori pe status.proton.me (vă rugăm să le raportați la Atlassian).
  • Dovada conceptelor care necesită acces fizic la dispozitiv.
  • Software învechit — Din mai multe motive, nu rulăm întotdeauna cele mai recente versiuni de software, dar rulăm software care este complet corectat.
  • Defecte cu impact asupra navigatoarele web vechi.
  • Erori pe partners.proton.me (vă rugăm să le raportați la TUNE)
  • Erori pe localize.proton.me (vă rugăm să le raportați la Discourse)

Raportarea unei vulnerabilități

Rapoartele sunt acceptate prin e-mail la security@proton.me. Formatele de mesaj acceptabile sunt text simplu, text îmbogățit și HTML. Vă încurajăm să criptați trimiterile folosind cheia noastră publică PGP atunci când trimiteți vulnerabilități.

  • Preferăm rapoarte care includ cod de dovadă a conceptului care demonstrează o exploatare a vulnerabilității.
  • Rapoartele ar trebui să ofere o descriere tehnică detaliată a pașilor necesari pentru a reproduce vulnerabilitatea, inclusiv o descriere a oricăror instrumente necesare pentru a identifica sau exploata vulnerabilitatea.
  • Imaginile (de exemplu, capturi de ecran) și alte documente pot fi atașate rapoartelor. Este util să dați atașamentelor nume sugestive.
  • Solicităm ca orice scripturi sau coduri de exploatare să fie încorporate în tipuri de fișiere neexecutabile.
  • Putem procesa toate tipurile de fișiere și arhive comune, inclusiv zip, 7zip și gzip.

Cercetătorii pot trimite rapoarte anonim sau pot furniza informații de contact, inclusiv cum și când ar trebui să fie contactați de echipa de securitate Proton. Am putea contacta cercetătorii pentru a clarifica aspecte ale raportului trimis sau pentru a colecta alte informații tehnice.

Prin trimiterea unui raport către Proton, afirmați că raportul și orice atașamente nu încalcă drepturile de proprietate intelectuală ale niciunei terțe părți. De asemenea, acordați Proton o licență neexclusivă, gratuită, globală și perpetuă de a utiliza, reproduce, crea lucrări derivate și publica raportul și orice atașamente.


Divulgare

Proton se angajează să corecteze în timp util vulnerabilitățile. Vom lucra cu sârguință pentru a rezolva orice probleme care pun comunitatea noastră în pericol. Solicităm tuturor cercetătorilor să ne susțină în timp ce examinăm rapoartele pe care ni le transmiteți, deoarece dezvăluirea publică a unei vulnerabilități în absența unei acțiuni corective ușor disponibile crește probabil mai degrabă decât scade riscul de securitate al comunității noastre.

În consecință, vă solicităm să vă abțineți de la partajarea informațiilor despre vulnerabilitățile descoperite timp de 120 de zile calendaristice după ce ați primit confirmarea noastră de primire a raportului dvs. Dacă credeți că alții ar trebui informați despre vulnerabilitate înainte de implementarea acțiunilor corective de către noi, trebuie să vă coordonați în prealabil cu echipa de securitate Proton.

Putem partaja rapoartele de vulnerabilitate cu furnizorii afectați. Nu vom partaja numele sau datele de contact ale cercetătorilor de securitate decât cu permisiunea explicită.


Aveți întrebări?

Întrebările referitoare la această politică pot fi trimise la security@proton.me. Proton încurajează cercetătorii de securitate să ne contacteze pentru clarificări cu privire la orice element al acestei politici.

Vă rugăm să ne contactați dacă nu știți dacă o anumită metodă de testare nu este în concordanță cu această politică sau nu este abordată de această politică înainte de a începe testarea. De asemenea, invităm cercetătorii de securitate să ne contacteze cu sugestii pentru îmbunătățirea acestei politici.


În cazul unei discrepanțe între versiunea în limba engleză a acestui conținut și orice versiune tradusă, versiunea în limba engleză va prevala.