Policy för avslöjande av sårbarheter
Som ett företag grundat av forskare som träffades på CERN tror vi på fackgranskning. Därför stödjer vi den oberoende säkerhetsgemenskapen för att hjälpa oss att upprätthålla säkerheten i våra system och skydda känslig information från obehörigt avslöjande. Vi uppmuntrar säkerhetsforskare att kontakta oss för att rapportera potentiella sårbarheter som identifierats i Protons produkter.
Denna policy anger:
- Vilka system och applikationer som omfattas
- Vilka typer av säkerhetsforskningsmetoder som omfattas
- Hur du rapporterar potentiella säkerhetssårbarheter till oss
- Vår filosofi kring avslöjande av sårbarheter och hur länge vi ber dig vänta innan du offentliggör sårbarheter
Proton kommer att bekräfta mottagandet av rapporter som följer policyn för avslöjande av sårbarheter inom fem (5) arbetsdagar. Vid mottagandet kommer vi att sträva efter att validera inskickade rapporter, genomföra korrigerande åtgärder (om lämpligt) och informera forskare om hanteringen av rapporterade sårbarheter med minsta möjliga dröjsmål.
Om du i god tro anstränger dig för att följa denna policy under din säkerhetsforskning, kommer vi att betrakta din forskning som auktoriserad enligt Protons juridiska policy för safe harbor. Vi kommer att arbeta med dig för att förstå och lösa problemet snabbt och kommer inte att rekommendera eller vidta rättsliga åtgärder mot dig för någon av dina åtgärder som är relaterade till din forskning.
Testmetoder
Säkerhetsforskare får inte:
- Testa något annat system än de som anges i avsnittet Omfattning nedan
- Avslöja information om sårbarheter förutom vad som anges i avsnitten Rapportera en sårbarhet och Avslöjande nedan
- Ägna sig åt fysisk testning av anläggningar eller resurser
- Ägna sig åt social engineering
- Skicka oönskad e-post till Proton-användare, inklusive meddelanden om ”nätfiske” (phishing)
- Utföra eller försöka utföra ”denial of service”- eller ”resource exhaustion”-attacker
- Introducera skadlig mjukvara i Protons eller någon tredje parts system
- Utföra tester som kan försämra driften av Protons system eller avsiktligt försämra, störa eller inaktivera SEC-system
- Testa applikationer, webbplatser eller tjänster från tredje part som integreras med eller länkar till eller från Protons system
- Ta bort, ändra, dela, behålla eller förstöra Proton-data, eller göra Proton-data oåtkomliga
- Använda en exploit för att exfiltrera data, upprätta åtkomst till kommandorad, upprätta en ihållande närvaro i Protons system eller ”pivota” till andra Proton-system
Säkerhetsforskare får:
- Visa eller lagra icke-offentliga Proton-data endast i den utsträckning som är nödvändig för att dokumentera förekomsten av en potentiell sårbarhet
Säkerhetsforskare måste:
- Avbryta testning och meddela oss omedelbart vid upptäckt av en sårbarhet
- Avbryta testning och meddela oss omedelbart vid upptäckt av att icke-offentliga data exponerats
- Radera all lagrad icke-offentlig data vid rapportering av en sårbarhet
Omfattning
Följande system och tjänster omfattas:
Proton
- Vår webbplats, proton.me
- Webbappen account.proton.me
Proton Calendar
- Webbappen calendar.proton.me
- Proton Calendar-appar (Android och iOS/iPad)
Proton Drive
- Webbappen drive.proton.me
- Proton Drive-appar (Android, iOS/iPad [i beta] och Windows)
Proton Docs
- Webbappen docs.proton.me
Proton Mail
- Webbappen mail.proton.me
- Webbappen api.protonmail.ch
- Proton Mail mobilappar (Android och iOS/iPad)
- Proton Bridge-appar (GNU/Linux, macOS och Windows)
- Proton Scribe
Proton Pass
- Webbappen pass.proton.me
- Proton Pass mobilappar (Android, iOS/iPad)
- Proton Pass skrivbordsappar (Linux, macOS och Windows)
- Proton Pass webbtillägg (Chrome och Firefox)
Proton Authenticator
- Proton Authenticator mobilappar (Android, iOS/iPad)
- Proton Authenticator skrivbordsappar (Linux, macOS och Windows)
Proton VPN
- Vår VPN-webbplats, protonvpn.com
- Webbappen account.protonvpn.com
- Webbappen api.protonvpn.ch
- Proton VPN-appar (Android, iOS/iPad, Linux, macOS och Windows)
- Proton VPN webbtillägg (Android TV, Apple TV, Chrome, Chromebook och Firefox)
Proton Wallet
- Webbappen wallet.proton.me
- Proton Wallet-appar (Android, iOS)
Lumo by Proton
- Webbappen lumo.proton.me
- Proton Lumo-appar (Android, iOS)
SimpleLogin
- Webbplatsen simplelogin.io
- Webbappen app.simplelogin.io
- SimpleLogin mobilappar (Android och iOS)
- SimpleLogin webbläsartillägg (Chrome, Edge, Firefox och Safari)
Standard Notes
- Webbplatsen standardnotes.com
- Webbappen app.standardnotes.com
- Standard Notes-appar (Android, iOS/iPad, Linux, macOS och Windows)
Alla tjänster som inte uttryckligen anges ovan är undantagna från denna policys omfattning. För tydlighetens skull inkluderar detta, men är inte begränsat till:
- Skräppost
- Social engineering-tekniker
- Överbelastningsattacker (Denial-of-service)
- Innehållsinjektion (Content injection) faller utanför omfattningen såvida du inte tydligt kan påvisa en betydande risk för Proton eller dess användare
- Exekvering av skript på sandlådade domäner
- Kraschrapporter för mobilappar som inte kan reproduceras på uppdaterade OS-versioner eller mobilenheter som släppts under de senaste två (2) kalenderåren
- Säkerhetsproblem som ligger utanför ramen för Protons uppdrag
- Fel som kräver extremt osannolika användarinteraktioner
- WordPress-fel (vänligen rapportera dessa till WordPress)
- Fel på shop.proton.me (vänligen rapportera dessa till Shopify)
- Fel på proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com och help.protonmail.com (vänligen rapportera dessa till Zendesk)
- Fel på status.proton.me (vänligen rapportera dessa till Atlassian)
- "Proof of concepts" som kräver fysisk åtkomst till enheten
- Föråldrad mjukvara — Av olika anledningar kör vi inte alltid de senaste mjukvaruversionerna, men vi kör mjukvara som är fullt uppdaterad (patchad)
- Brister som påverkar föråldrade webbläsare
- Fel på partners.proton.me (vänligen rapportera dessa till TUNE)
- Fel på localize.proton.me (vänligen rapportera dessa till Discourse)
Rapportera en sårbarhet
Rapporter accepteras via e-post på security@proton.me. Accepterade meddelandeformat är oformaterad text, formaterad text och HTML. Vi uppmuntrar dig att kryptera inskickat material med vår offentliga PGP-nyckel när du skickar in sårbarheter.
- Vi föredrar rapporter som inkluderar proof-of-concept-kod som demonstrerar en exploatering av sårbarheten.
- Rapporter bör innehålla en detaljerad teknisk beskrivning av de steg som krävs för att reproducera sårbarheten, inklusive en beskrivning av eventuella verktyg som behövs för att identifiera eller utnyttja sårbarheten.
- Bilder (t.ex. skärmdumpar) och andra dokument kan bifogas till rapporter. Det är hjälpsamt att ge bilagor illustrativa namn.
- Vi ber att eventuella skript eller exploit-kod bäddas in i icke-körbara filtyper.
- Vi kan behandla alla vanliga filtyper och arkiv, inklusive zip, 7zip och gzip.
Forskare kan skicka in rapporter anonymt eller lämna kontaktinformation, inklusive hur och när Protons säkerhetsteam ska kontakta dem. Vi kan komma att kontakta forskare för att klargöra aspekter av den inskickade rapporten eller samla in annan teknisk information.
Genom att skicka en rapport till Proton intygar du att rapporten och eventuella bilagor inte kränker någon tredje parts immateriella rättigheter. Du beviljar också Proton en icke-exklusiv, royaltyfri, världsomspännande, ständig licens att använda, reproducera, skapa härledda verk och publicera rapporten och eventuella bilagor.
Avslöjande
Proton åtar sig att korrigera sårbarheter i god tid. Vi kommer att arbeta flitigt för att lösa alla problem som utsätter vår gemenskap för risker. Vi ber alla forskare att ha tålamod med oss när vi granskar de rapporter ni skickar till oss, eftersom offentligt avslöjande av en sårbarhet i avsaknad av en lättillgänglig korrigerande åtgärd sannolikt ökar snarare än minskar säkerhetsrisken för vår gemenskap.
Följaktligen kräver vi att du avstår från att dela information om upptäckta sårbarheter under 120 kalenderdagar efter att du har mottagit vår bekräftelse på mottagandet av din rapport. Om du anser att andra bör informeras om sårbarheten innan vi genomför korrigerande åtgärder, måste du samordna detta i förväg med Protons säkerhetsteam.
Vi kan komma att dela sårbarhetsrapporter med berörda leverantörer. Vi kommer inte att dela namn eller kontaktuppgifter för säkerhetsforskare om vi inte fått uttryckligt tillstånd.
Frågor?
Frågor gällande denna policy kan skickas till security@proton.me. Proton uppmuntrar säkerhetsforskare att kontakta oss för förtydliganden om någon del av denna policy.
Vänligen kontakta oss om du är osäker på om en specifik testmetod är oförenlig med eller inte tas upp i denna policy innan du börjar testa. Vi inbjuder också säkerhetsforskare att kontakta oss med förslag på hur denna policy kan förbättras.
I händelse av avvikelse mellan den engelska versionen av detta innehåll och någon översatt version, ska den engelska versionen ha företräde.