Startsida för Proton

Protons buggbelöningsprogram

Proton-communityt litar på att våra tjänster håller deras information säker. Vi tar det förtroendet på allvar, vilket är anledningen till att vi är dedikerade att arbeta med säkerhetsforskningsvärlden för att identifiera, verifiera och lösa potentiella sårbarheter.

Om du är en säkerhetsforskare kan du hjälpa till att göra Protons tjänster säkrare, bli erkänd som en säkerhetsbidragsgivare och potentiellt få en belöning. Och du kommer att spela en roll i att bygga ett bättre internet där integritet är standard.

Omfattning och regler för buggbelöningsprogrammet

Innan du skickar in en sårbarhet till Protons buggbelöningsprogram bör du läsa följande dokument:

  • Vår policy för avslöjande av sårbarheter beskriver programmets accepterade testmetoder.

  • Vår safe harbor-policy förklarar vilka tester och åtgärder som är skyddade från ansvar när du rapporterar sårbarheter till Protons buggbelöningsprogram

Hur du rapporterar en sårbarhet

Du kan skicka sårbarhetsrapporter via e-post till security@proton.me. Du kan skicka in rapporter med oformaterad text, formaterad text eller HTML.

Om du inte använder Proton Mail uppmanar vi dig att kryptera dina inskickade rapporter med vår offentliga PGP-nyckel.

Kvalificerande sårbarheter

Vi kommer sannolikt att överväga alla design- eller implementeringsproblem som väsentligt påverkar konfidentialiteten eller integriteten för användardata inom ramen för vårt buggbelöningsprogram. Detta inkluderar, men är inte begränsat till:

Webbapplikationer

  • Cross-site scripting

  • Skript med blandat innehåll

  • Cross-site request forgery

  • Brister i autentisering eller auktorisering

  • Kodexekveringsfel på serversidan

  • Sårbarheter i REST API

Skrivbordsapplikationer

  • Fjärrexekvering av kod genom Proton-appar

  • Läckage av lokala data, inloggningsuppgifter eller nyckelringsinformation

  • Svagheter i autentisering och auktorisering

  • Osäkra uppdaterings- eller kodsigneringsmekanismer

  • Sårbarheter för lokal privilegieeskalering

Mobilapplikationer

  • Säkerhetsintrång i lokal mobildata

  • Brister i autentisering eller auktorisering

  • Kodexekveringsfel på serversidan

Servrar

  • Privilegieeskalering

  • SMTP-exploateringar (till exempel öppna reläer)

  • Obehörig skalåtkomst

  • Obehörig API-åtkomst

Uteslutningar från omfattningen

Bedömning av inskickade rapporter och fastställande av belöningar

Vi erkänner och belönar säkerhetsforskning i god tro som bedrivs i enlighet med denna policy.

Belöningsbelopp utvärderas från fall till fall av vår bedömningspanel, som består av medlemmar från Protons säkerhets- och ingenjörsteam. Denna panel fattar alla slutgiltiga beslut gällande belöningar, och deltagare måste gå med på att respektera dessa beslut.

Allvaret i påverkan på Proton-användares data är den primära faktorn vid fastställande av belöningsbelopp. Siffrorna som anges nedan representerar standardintervall för belöningar. Faktiska utbetalningar kan variera baserat på faktorer som:

  • Förutsättningar: huruvida exploatering beror på ytterligare krav utöver själva sårbarheten, till exempel:

    • Ovanliga användarinställningar – förlitar sig på atypiska användarkonfigurationer eller inställningar.
    • Icke-standardkonfigurationer – kräver att Protons mjukvara konfigureras på ett icke-standardiserat sätt.
    • Exploateringens tillförlitlighet – framgång är inkonsekvent, till exempel icke-deterministisk framgång, på grund av kapplöpningseffekter (race conditions), låg framgångsfrekvens för RCE.
    • Lokal enhetsstatus – kräver utökade privilegier, en jailbreakad/rootad enhet och/eller fysisk åtkomst.
    • Miljö- eller nätverksförhållanden – beroende av sällsynta eller osannolika yttre förhållanden.
  • Påverkansomfattning: I vilken utsträckning konfidentialitet, integritet eller tillgänglighet för våra tjänster kan påverkas.

  • Värde av exploateringskedja: Huruvida problemet kan bidra till en bredare kedja av sårbarheter.

  • Exploaterbarhet: Sannolikheten att problemet kan användas i en attack i verkliga världen.

  • Nyhetsvärde: Huruvida problemet är nytt, tidigare rapporterat eller redan offentligt; endast den första giltiga inskickade rapporten är berättigad.

  • Kvalitet på inskickad rapport: Måste inkludera ett reproducerbart proof-of-concept eller en tydlig sökväg som visar påverkan. Kod eller pseudokod föredras starkt.

I undantagsfall kan belöningar höjas upp till det maximala belöningsbeloppet.

Belöningsbelopp

  • Maximal belöning: 100 000 USD

  • Kritisk allvarlighetsgrad: 25 000 USD - 50 000 USD

    Upptäckt av en sårbarhet som möjliggör fullständig varaktig obehörig kontroll av tjänstemiljön, eller avslöjar konfidentialiteten eller integriteten för alla användares data utan att kräva särskilda villkor eller föregående åtkomst.

  • Hög allvarlighetsgrad: 2 500 USD - 25 000 USD

    Upptäckt av en sårbarhet som leder till varaktig obehörig kontroll över en stor del av tjänstemiljön, eller ett betydande intrång i datakonfidentialitet eller integritet som påverkar en bred grupp av användare – utan att kräva särskilda villkor eller föregående åtkomst – men ändå inte fullständig kompromettering av tjänsten.

  • Medelhög allvarlighetsgrad: 1 000 USD - 2 500 USD

    Upptäckt av en sårbarhet som möjliggör obehörig kontroll över en del av tjänstemiljön, eller avslöjar integriteten eller konfidentialiteten för användardata för en enskild användare eller en liten grupp. Alternativt, sårbarheter med bredare påverkan som kräver betydande användarinteraktion eller specifika villkor, men som ändå leder till exponering av känsliga data eller kontroller.

  • Låg allvarlighetsgrad: Från fall till fall, ingen ekonomisk belöning som standard

    Upptäckt av en sårbarhet med begränsad påverkan eller med osannolika villkor.

Behörighetskrav

Fynd som beskriver avsett beteende, teoretiska rekommendationer eller rekommendationer om bästa praxis utan en konkret sökväg till exploatering är inte berättigade. Den första giltiga rapportören av varje kvalificerande sårbarhet erhåller motsvarande utbetalning efter att Proton bekräftar problemet och distribuerar en fix.

Frågor

Frågor gällande denna policy kan skickas till security@proton.me. Proton uppmuntrar säkerhetsforskare att kontakta oss för förtydliganden om någon del av denna policy.

Vänligen kontakta oss om du är osäker på om en specifik testmetod är oförenlig med eller inte tas upp av denna policy innan du påbörjar testning. Vi inbjuder också säkerhetsforskare att kontakta oss med förslag på hur denna policy kan förbättras.