Политика раскрытия уязвимостей
Последняя редакция: 25 июля 2024 г.
Как компания, основанная учеными, которые встретились в CERN, мы верим в рецензирование коллегами. Именно поэтому мы поддерживаем независимое сообщество безопасности, чтобы помочь нам поддерживать безопасность наших систем и защищать конфиденциальную информацию от несанкционированного раскрытия. Мы призываем исследователей безопасности связываться с нами для сообщения о потенциальных уязвимостях, выявленных в продуктах Proton.
Эта политика указывает:
- Какие системы и приложения находятся в области действия
- Какие методы исследования безопасности охватываются
- Как сообщать нам о потенциальных уязвимостях безопасности
- Наша философия раскрытия уязвимостей и сколько времени мы попросим вас подождать перед публичным раскрытием уязвимостей
Proton подтвердит получение отчетов, которые соответствуют политике раскрытия уязвимостей, в течение пяти (5) рабочих дней. После получения мы постараемся верифицировать материалы, осуществить корректирующие действия (если это уместно) и информировать исследователей о судьбе сообщенных уязвимостей с минимальными задержками.
Если вы проявите добросовестные усилия для соблюдения этой политики во время исследований безопасности, мы будем считать, что ваши исследования санкционированы в соответствии с юридической политикой безопасной гавани Proton. Мы будем сотрудничать с вами, чтобы изучить и оперативно устранить проблему. Мы не будем рекомендовать или предпринимать юридических действий против вас вследствие любых ваших действий, связанных с изучением проблемы.
Методы тестирования
Исследователи безопасности не должны:
- Тестировать любую систему, кроме систем, указанных в разделе «Область применения» ниже
- Раскрывать информацию о уязвимостях, кроме случаев, указанных в разделах «Сообщение о уязвимости» и «Раскрытие» ниже
- Проводить физическое тестирование объектов или ресурсов
- Заниматься социальной инженерией
- Отправлять непрошенные электронные письма пользователям Proton, включая сообщения о «фишинге»
- Исполнять или пытаться исполнить атаки «отказ в обслуживании» или «истощение ресурсов»
- Добавлять зловредное программное обеспечение в системы Proton или сторонних разработчиков
- Проводить тесты, которые могут ухудшить работу систем Proton или намеренно повредить, разрушить или отключить системы SEC
- Тестировать сторонние приложения, веб-сайты или услуги, которые интегрируются с системами Proton или ссылаются на них или из них
- Удалять, изменять, делиться, сохранять или уничтожать данные Proton или делать данные Proton недоступными
- Использовать эксплойт для кражи данных, установления доступа к командной строке, установления постоянного присутствия в системах Proton или «переключения» на другие системы Proton
Исследователи безопасности могут:
- Просматривать или хранить непубличные данные Proton только в той степени, в какой это необходимо для документирования наличия потенциальной уязвимости
Исследователи безопасности должны:
- Прекратить тестирование и немедленно уведомить нас о выявлении уязвимости
- Прекратить тестирование и немедленно уведомить нас о выявлении несанкционированного доступа к непубличным данным
- Удалить любые сохраненные непубличные данные после сообщения об уязвимости
Область действия
Следующие системы и сервисы находятся в области действия:
- Наш сайт, proton.me
- Веб-приложение account.proton.me
- Proton Mail
- Веб-приложение mail.proton.me
- Приложения Proton Mail для Android и iOS
- api.protonmail.ch
- Proton Drive
- Веб-приложение drive.proton.me
- Приложения Proton Drive для Windows и Android
- Приложение Proton Drive для iOS / iPad (в бета-версии)
- Календарь Proton
- Веб-приложение calendar.proton.me
- Приложение Proton Calendar для iOS / iPad (в бета-версии)
- SimpleLogin
- Proton VPN
- Веб-сайт нашего VPN, protonvpn.com
- account.protonvpn.com
- api.protonvpn.ch
- Приложения Proton VPN для Windows, macOS, Linux, iOS/iPad и Android
- Proton Bridge для Windows, macOS и GNU/Linux
- Proton Pass
- Мобильные приложения Proton Pass (Android и iOS)
- Веб-расширения Proton Pass
- Proton Wallet
- Веб-приложение wallet.proton.me
- Proton Scribe
Любые сервисы, явно не перечисленные выше, исключаются из сферы действия данной политики. Для ясности это включает, но не ограничивается:
- Спам
- Техники социальной инженерии
- Атаки на отказ в обслуживании
- Инъекция контента не входит в зону действия, если вы не можете четко продемонстрировать значительный риск для Proton или его пользователей
- Выполнение скриптов на защищенных доменных зонах
- Отчеты о сбоях мобильных приложений, которые невозможно воспроизвести на актуальных версиях ОС или мобильных устройствах, выпущенных за последние два (2) календарных года
- Проблемы безопасности вне области применения Proton Mail
- Ошибки, требующие крайне маловероятных взаимодействий от пользователя
- Ошибки WordPress (пожалуйста, сообщите об этом в WordPress)
- Ошибки на shop.proton.me (пожалуйста, сообщите об этом в Shopify)
- Ошибки на proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com и help.protonmail.com (пожалуйста, сообщите об этом в Zendesk)
- Ошибки на status.proton.me (пожалуйста, сообщите об этом в Atlassian)
- Доказательства концептов, требующие физического доступа к устройству
- Устаревшее программное обеспечение — по разным причинам мы не всегда запускаем самые последние версии программного обеспечения, но мы используем программное обеспечение, полностью исправленное
- Недостатки, влияющие на устаревшие браузеры
- Ошибки на partners.proton.me (сообщите об этом в TUNE)
- Ошибки на localize.proton.me (сообщите об этом в Discourse)
Сообщение о уязвимости
Отчеты принимаются по электронной почте на адрес security@proton.me. Приемлемые форматы сообщений — простой текст, форматированный текст и HTML. Мы настоятельно рекомендуем вам зашифровать отправляемые материалы, используя наш открытый ключ PGP.
- Мы предпочитаем отчеты, которые включают код доказательства концепта, демонстрирующий эксплуатацию уязвимости.
- Отчеты должны содержать подробное техническое описание шагов, необходимых для воспроизведения уязвимости, включая описание любых инструментов, необходимых для обнаружения или эксплуатации уязвимости.
- Изображения (например, скриншоты) и другие документы могут быть приложены к отчетам. Полезно давать вложениям объясняющие названия.
- Мы просим, чтобы любые скрипты или код эксплуатации были встроены в неисполняемые типы файлов.
- Мы можем обрабатывать все распространенные типы файлов и архивы, включая zip, 7zip и gzip.
Исследователи могут подавать отчеты анонимно или предоставлять контактную информацию, включая то, как и когда команда безопасности Proton должна связаться с ними. Мы можем связаться с исследователями для уточнения аспектов поданного отчета или сбора другой технической информации.
Подписывая отчет Proton, вы подтверждаете, что отчет и любые вложения не нарушают права интеллектуальной собственности третьих лиц. Вы также предоставляете Proton неисключительную, безвозмездную, мировую, бессрочную лицензию на использование, воспроизведение, создание производных работ и публикацию отчета и любых вложений.
Раскрытие информации
Proton стремится к своевременному исправлению уязвимостей. Мы будем стараться решать любые проблемы, которые ставят под угрозу нашу общину. Мы просим всех исследователей терпеть, пока мы рассматриваем поданные вами отчеты, так как публичное раскрытие уязвимости при отсутствии готового решения скорее увеличивает, чем снижает риск безопасности нашей общины.
Соответственно, мы требуем от вас воздержаться от распространения информации о выявленных уязвимостях в течение 120 календарных дней после получения нашим подтверждения о получении вашего отчета. Если вы считаете, что другие должны быть проинформированы об уязвимости до реализации нами корректирующих действий, вы должны заранее согласовать это с командой безопасности Proton.
Мы можем делиться отчетами о уязвимостях с пострадавшими поставщиками. Мы не будем делиться именами или контактными данными исследователей безопасности, если не получено явное разрешение.
Вопросы о Proton
Вопросы по этой политике могут быть отправлены на адрес security@proton.me. Proton encourages security researchers to contact us for clarification on any element of this policy.
Пожалуйста, свяжитесь с нами, если вы не уверены, противоречит ли конкретный метод тестирования этой политике или не охвачен ею, прежде чем начать тестирование. We also invite security researchers to contact us with suggestions for improving this policy.