Protons buggbelöningsprogram
Proton-communityt litar på att våra tjänster håller deras information säker. Vi tar det förtroendet på allvar, vilket är anledningen till att vi är dedikerade att arbeta med säkerhetsforskningsvärlden för att identifiera, verifiera och lösa potentiella sårbarheter.
Om du är en säkerhetsforskare kan du hjälpa till att göra Protons tjänster säkrare, bli erkänd som en säkerhetsbidragsgivare och potentiellt få en belöning. Och du kommer att spela en roll i att bygga ett bättre internet där integritet är standard.

Omfattning och regler för buggbelöningsprogrammet
Innan du skickar in en sårbarhet till Protons buggbelöningsprogram bör du läsa följande dokument:
Vår policy för avslöjande av sårbarheter beskriver programmets accepterade testmetoder.
Vår safe harbor-policy förklarar vilka tester och åtgärder som är skyddade från ansvar när du rapporterar sårbarheter till Protons buggbelöningsprogram
Hur du rapporterar en sårbarhet
Du kan skicka sårbarhetsrapporter via e-post till security@proton.me. Du kan skicka in rapporter med oformaterad text, formaterad text eller HTML.
Om du inte använder Proton Mail uppmanar vi dig att kryptera dina inskickade rapporter med vår offentliga PGP-nyckel.
Kvalificerande sårbarheter
Vi kommer sannolikt att överväga alla design- eller implementeringsproblem som väsentligt påverkar konfidentialiteten eller integriteten för användardata inom ramen för vårt buggbelöningsprogram. Detta inkluderar, men är inte begränsat till:
Webbapplikationer
Cross-site scripting
Skript med blandat innehåll
Cross-site request forgery
Brister i autentisering eller auktorisering
Kodexekveringsfel på serversidan
Sårbarheter i REST API
Skrivbordsapplikationer
Fjärrexekvering av kod genom Proton-appar
Läckage av lokala data, inloggningsuppgifter eller nyckelringsinformation
Svagheter i autentisering och auktorisering
Osäkra uppdaterings- eller kodsigneringsmekanismer
Sårbarheter för lokal privilegieeskalering
Mobilapplikationer
Säkerhetsintrång i lokal mobildata
Brister i autentisering eller auktorisering
Kodexekveringsfel på serversidan
Servrar
Privilegieeskalering
SMTP-exploateringar (till exempel öppna reläer)
Obehörig skalåtkomst
Obehörig API-åtkomst
Bedömning av inskickade rapporter och fastställande av belöningar
Vi erkänner och belönar säkerhetsforskning i god tro som bedrivs i enlighet med denna policy.
Belöningsbelopp utvärderas från fall till fall av vår bedömningspanel, som består av medlemmar från Protons säkerhets- och ingenjörsteam. Denna panel fattar alla slutgiltiga beslut gällande belöningar, och deltagare måste gå med på att respektera dessa beslut.
Allvaret i påverkan på Proton-användares data är den primära faktorn vid fastställande av belöningsbelopp. Siffrorna som anges nedan representerar standardintervall för belöningar. Faktiska utbetalningar kan variera baserat på faktorer som:
Förutsättningar: huruvida exploatering beror på ytterligare krav utöver själva sårbarheten, till exempel:
- Ovanliga användarinställningar – förlitar sig på atypiska användarkonfigurationer eller inställningar.
- Icke-standardkonfigurationer – kräver att Protons mjukvara konfigureras på ett icke-standardiserat sätt.
- Exploateringens tillförlitlighet – framgång är inkonsekvent, till exempel icke-deterministisk framgång, på grund av kapplöpningseffekter (race conditions), låg framgångsfrekvens för RCE.
- Lokal enhetsstatus – kräver utökade privilegier, en jailbreakad/rootad enhet och/eller fysisk åtkomst.
- Miljö- eller nätverksförhållanden – beroende av sällsynta eller osannolika yttre förhållanden.
Påverkansomfattning: I vilken utsträckning konfidentialitet, integritet eller tillgänglighet för våra tjänster kan påverkas.
Värde av exploateringskedja: Huruvida problemet kan bidra till en bredare kedja av sårbarheter.
Exploaterbarhet: Sannolikheten att problemet kan användas i en attack i verkliga världen.
Nyhetsvärde: Huruvida problemet är nytt, tidigare rapporterat eller redan offentligt; endast den första giltiga inskickade rapporten är berättigad.
Kvalitet på inskickad rapport: Måste inkludera ett reproducerbart proof-of-concept eller en tydlig sökväg som visar påverkan. Kod eller pseudokod föredras starkt.
I undantagsfall kan belöningar höjas upp till det maximala belöningsbeloppet.
Belöningsbelopp
Maximal belöning: 100 000 USD
Kritisk allvarlighetsgrad: 25 000 USD - 50 000 USD
Upptäckt av en sårbarhet som möjliggör fullständig varaktig obehörig kontroll av tjänstemiljön, eller avslöjar konfidentialiteten eller integriteten för alla användares data utan att kräva särskilda villkor eller föregående åtkomst.
Hög allvarlighetsgrad: 2 500 USD - 25 000 USD
Upptäckt av en sårbarhet som leder till varaktig obehörig kontroll över en stor del av tjänstemiljön, eller ett betydande intrång i datakonfidentialitet eller integritet som påverkar en bred grupp av användare – utan att kräva särskilda villkor eller föregående åtkomst – men ändå inte fullständig kompromettering av tjänsten.
Medelhög allvarlighetsgrad: 1 000 USD - 2 500 USD
Upptäckt av en sårbarhet som möjliggör obehörig kontroll över en del av tjänstemiljön, eller avslöjar integriteten eller konfidentialiteten för användardata för en enskild användare eller en liten grupp. Alternativt, sårbarheter med bredare påverkan som kräver betydande användarinteraktion eller specifika villkor, men som ändå leder till exponering av känsliga data eller kontroller.
Låg allvarlighetsgrad: Från fall till fall, ingen ekonomisk belöning som standard
Upptäckt av en sårbarhet med begränsad påverkan eller med osannolika villkor.
Behörighetskrav
Fynd som beskriver avsett beteende, teoretiska rekommendationer eller rekommendationer om bästa praxis utan en konkret sökväg till exploatering är inte berättigade. Den första giltiga rapportören av varje kvalificerande sårbarhet erhåller motsvarande utbetalning efter att Proton bekräftar problemet och distribuerar en fix.
Frågor
Frågor gällande denna policy kan skickas till security@proton.me. Proton uppmuntrar säkerhetsforskare att kontakta oss för förtydliganden om någon del av denna policy.
Vänligen kontakta oss om du är osäker på om en specifik testmetod är oförenlig med eller inte tas upp av denna policy innan du påbörjar testning. Vi inbjuder också säkerhetsforskare att kontakta oss med förslag på hur denna policy kan förbättras.