Protons buggbelöningsprogram
Proton-communityt litar på att våra tjänster håller deras information säker. Vi tar det förtroendet på allvar, och därför är vi engagerade i att arbeta med säkerhetsforskningsvärlden för att identifiera, verifiera och lösa potentiella sårbarheter.
Om du är en säkerhetsforskare kan du hjälpa till att göra Protons tjänster säkrare, bli erkänd som säkerhetsbidragsgivare och potentiellt få en belöning. Och du kommer att spela en roll i att bygga ett bättre internet där integritet är standard.
Omfattning och regler för buggbelöningsprogrammet
Innan du skickar in en sårbarhet till Protons buggbelöningsprogram bör du ha läst följande dokument:
Vår policy för avslöjande av sårbarheter beskriver programmets accepterade testmetoder.
Vår safe harbor-policy förklarar vilka tester och åtgärder som är skyddade från ansvarsskyldighet när du rapporterar sårbarheter till Protons buggbelöningsprogram
Hur rapporterar man en sårbarhet?
Du kan skicka in sårbarhetsrapporter via e-post på security@proton.me. Du kan skicka in rapporter med oformaterad text, formaterad text eller HTML.
Om du inte använder Proton Mail uppmanar vi dig att kryptera dina inskickade uppgifter med vår offentliga PGP-nyckel.
Kvalificerande sårbarheter
Vi kommer sannolikt att överväga alla design- eller implementeringsproblem som väsentligt påverkar sekretessen eller integriteten för användardata inom ramen för vårt buggbelöningsprogram. Detta inkluderar, men är inte begränsat till:
Webbapplikationer
Cross-site scripting
Skript med blandat innehåll
Cross-site request forgery
Brister i autentisering eller auktorisering
Kodexekveringsfel på serversidan
Sårbarheter i REST API
Skrivbordsapplikationer
Fjärrexekvering av kod genom Proton-appar
Läckage av lokala data, inloggningsuppgifter eller nyckelringsinformation
Svagheter i autentisering och auktorisering
Osäkra mekanismer för uppdatering eller kodsignering
Sårbarheter för lokal behörighetseskalering
Mobilapplikationer
Säkerhetsintrång för lokal mobildata
Brister i autentisering eller auktorisering
Kodexekveringsfel på serversidan
Servrar
Behörighetseskalering
SMTP-exploateringar (till exempel öppna reläer)
Obehörig åtkomst till skal
Obehörig API-åtkomst
Bedömning av inskickade bidrag och fastställande av belöningar
Vi erkänner och belönar säkerhetsforskning i god tro som utförs i enlighet med denna policy.
Belöningsbelopp utvärderas från fall till fall av vår bedömningspanel, som består av medlemmar från Protons säkerhets- och teknikteam. Denna panel fattar alla slutgiltiga beslut gällande belöningar, och deltagare måste acceptera att respektera dessa beslut.
Allvaret i påverkan på Proton-användares data är den primära faktorn för att fastställa belöningsbelopp. Siffrorna som anges nedan representerar standardintervall för belöningar. Faktiska utbetalningar kan variera beroende på faktorer som:
Förutsättningar: om exploatering beror på ytterligare krav utöver själva sårbarheten, till exempel:
- Ovanliga användarinställningar – förlitar sig på atypiska användarkonfigurationer eller inställningar.
- Icke-standardkonfigurationer – kräver att Proton-mjukvara konfigureras på ett icke-standardiserat sätt.
- Exploateringens tillförlitlighet – framgång är inkonsekvent, till exempel icke-deterministisk framgång på grund av kapplöpningseffekter (race conditions), låg framgångsfrekvens för RCE.
- Lokal enhetsstatus – kräver utökade rättigheter, en jailbreakad/rootad enhet och/eller fysisk åtkomst.
- Miljö- eller nätverksförhållanden – beroende av sällsynta eller osannolika yttre förhållanden.
Påverkansomfattning: I vilken utsträckning sekretess, integritet eller tillgänglighet för våra tjänster kan påverkas.
Exploit-kedjans värde: Huruvida problemet kan bidra till en bredare kedja av sårbarheter.
Exploaterbarhet: Sannolikheten att problemet kan användas i en attack i verkliga världen.
Nyhetsvärde: Om problemet är nytt, tidigare rapporterat eller redan offentligt; endast det första giltiga bidraget är berättigat.
Kvalitet på bidrag: Måste inkludera ett reproducerbart proof-of-concept eller en tydlig sökväg som visar påverkan. Kod eller pseudokod är starkt föredraget.
I undantagsfall kan belöningar höjas upp till det maximala belöningsbeloppet.
Belöningsbelopp
Maximal belöning: 100 000 USD
Kritisk allvarlighetsgrad: 25 000 USD – 50 000 USD
Upptäckt av en sårbarhet som möjliggör fullständig, varaktig och obehörig kontroll över tjänstemiljön, eller äventyrar sekretessen eller integriteten för alla användares data utan att kräva särskilda villkor eller föregående åtkomst.
Hög allvarlighetsgrad: 2 500 USD – 25 000 USD
Upptäckt av en sårbarhet som leder till varaktig obehörig kontroll över en stor del av tjänstemiljön, eller ett betydande intrång i datasekretess eller integritet som påverkar en bred grupp användare – utan att kräva särskilda villkor eller föregående åtkomst – men som ändå inte innebär fullständig kompromettering av tjänsten.
Medelhög allvarlighetsgrad: 1 000 USD – 2 500 USD
Upptäckt av en sårbarhet som tillåter obehörig kontroll över en del av tjänstemiljön, eller äventyrar integriteten eller sekretessen för användardata för en enskild användare eller en liten grupp. Alternativt, sårbarheter med bredare påverkan som kräver betydande användarinteraktion eller specifika villkor, men som ändå leder till exponering av känsliga data eller kontroller.
Låg allvarlighetsgrad: Från fall till fall, ingen ekonomisk belöning som standard
Upptäckt av en sårbarhet med begränsad påverkan eller med osannolika förhållanden.
Behörighetskrav
Fynd som beskriver avsett beteende, teoretiska rekommendationer eller rekommendationer om bästa praxis utan en konkret sökväg till exploatering är inte berättigade. Den första giltiga rapportören av varje kvalificerande sårbarhet erhåller motsvarande utbetalning efter att Proton bekräftar problemet och distribuerar en fix.
Frågor
Frågor gällande denna policy kan skickas till security@proton.me. Proton uppmuntrar säkerhetsforskare att kontakta oss för förtydliganden om någon del av denna policy.
Kontakta oss om du är osäker på om en specifik testmetod är oförenlig med eller inte tas upp i denna policy innan du börjar testa. Vi inbjuder också säkerhetsforskare att kontakta oss med förslag på hur denna policy kan förbättras.