Proton
Senast ändrad: 30 juli 2025

Policy för sårbarhetsavslöjande

Som ett företag grundat av forskare som träffades på CERN tror vi på kollegial granskning. Därför stöttar vi den oberoende säkerhetscommunityn för att hjälpa oss att upprätthålla säkerheten i våra system och skydda känslig information från obehörigt avslöjande. Vi uppmuntrar säkerhetsforskare att kontakta oss för att rapportera potentiella sårbarheter som identifierats i Protons produkter.

Denna policy anger:

  • Vilka system och applikationer som omfattas
  • Vilka typer av säkerhetsforskningsmetoder som omfattas
  • Hur man rapporterar potentiella säkerhetssårbarheter till oss
  • Vår filosofi kring sårbarhetsavslöjande och hur länge vi kommer be dig vänta innan du offentliggör sårbarheter

Proton kommer att bekräfta mottagandet av rapporter som följer policyn för sårbarhetsavslöjande inom fem (5) arbetsdagar. Vid mottagande kommer vi att sträva efter att validera inskickade rapporter, genomföra korrigerande åtgärder (om lämpligt) och informera forskare om statusen för rapporterade sårbarheter med minsta möjliga dröjsmål.

Om du gör en godtrogen ansträngning för att följa denna policy under din säkerhetsforskning, kommer vi att betrakta din forskning som auktoriserad enligt Protons juridiska safe harbor-policy. Vi kommer att arbeta med dig för att förstå och lösa problemet snabbt och kommer inte att rekommendera eller vidta rättsliga åtgärder mot dig för någon av dina åtgärder relaterade till din forskning.

Testmetoder

Säkerhetsforskare får inte:

  • Testa något annat system än de system som anges i avsnittet Omfattning nedan
  • Avslöja sårbarhetsinformation förutom vad som anges i avsnitten Rapportera en sårbarhet och Offentliggörande nedan
  • Ägna sig åt fysisk testning av anläggningar eller resurser
  • Ägna sig åt social manipulation (social engineering)
  • Skicka oönskad e-post till Proton-användare, inklusive meddelanden om ”nätfiske” (phishing)
  • Utföra eller försöka utföra ”denial of service”-attacker eller attacker för ”resursuttömning”
  • Introducera skadlig mjukvara i Protons eller någon tredje parts system
  • Utföra tester som kan försämra driften av Proton-system eller avsiktligt skada, störa eller inaktivera säkerhetssystem
  • Testa applikationer, webbplatser eller tjänster från tredje part som integreras med eller länkar till eller från Proton-system
  • Ta bort, ändra, dela, behålla eller förstöra Proton-data, eller göra Proton-data oåtkomliga
  • Använda en exploit för att exfiltrera data, upprätta kommandoradsåtkomst, upprätta en ihållande närvaro i Proton-system eller ”pivotera” till andra Proton-system

Säkerhetsforskare får:

  • Visa eller lagra icke-offentliga Proton-data endast i den utsträckning som krävs för att dokumentera förekomsten av en potentiell sårbarhet

Säkerhetsforskare måste:

  • Avbryta testningen och meddela oss omedelbart vid upptäckt av en sårbarhet
  • Avbryta testningen och meddela oss omedelbart vid upptäckt av en exponering av icke-offentliga data
  • Rensa alla lagrade icke-offentliga data vid rapportering av en sårbarhet

Omfattning

Följande system och tjänster ingår i omfattningen:

Proton

  • Vår webbplats, proton.me
  • Webbappen account.proton.me

Proton Calendar

  • Webbappen calendar.proton.me
  • Proton Calendar-appar (Android och iOS/iPad)

Proton Drive

  • Webbappen drive.proton.me
  • Proton Drive-appar (Android, iOS/iPad [i beta] och Windows)

Proton Docs

  • Webbappen docs.proton.me

Proton Mail

  • Webbappen mail.proton.me
  • Webbappen api.protonmail.ch
  • Proton Mail mobilappar (Android och iOS/iPad)
  • Proton Bridge-appar (GNU/Linux, macOS och Windows)
  • Proton Scribe

Proton Pass

  • Webbappen pass.proton.me
  • Proton Pass mobilappar (Android, iOS/iPad)
  • Proton Pass skrivbordsappar (Linux, macOS och Windows)
  • Proton Pass webbtillägg (Chrome och Firefox)

Proton Authenticator

  • Proton Authenticator mobilappar (Android, iOS/iPad)
  • Proton Authenticator skrivbordsappar (Linux, macOS och Windows)

Proton VPN

  • Vår VPN-webbplats, protonvpn.com
  • Webbappen account.protonvpn.com
  • webbappen api.protonvpn.ch
  • Proton VPN-appar (Android, iOS/iPad, Linux, macOS och Windows)
  • Proton VPN webbtillägg (Android TV, Apple TV, Chrome, Chromebook och Firefox)

Proton Wallet

  • Webbappen wallet.proton.me
  • Proton Wallet-appar (Android, iOS)

Lumo av Proton

  • Webbappen lumo.proton.me
  • Proton Lumo-appar (Android, iOS)

SimpleLogin

  • Webbplatsen simplelogin.io
  • Webbappen app.simplelogin.io
  • SimpleLogin mobilappar (Android och iOS)
  • SimpleLogin webbläsartillägg (Chrome, Edge, Firefox och Safari)

Standard Notes

  • Webbplatsen standardnotes.com
  • Webbappen app.standardnotes.com
  • Standard Notes-appar (Android, iOS/iPad, Linux, macOS och Windows)

Alla tjänster som inte uttryckligen listas ovan är undantagna från denna policys omfattning. För tydlighetens skull inkluderar detta, men är inte begränsat till:

  • Skräppost
  • Tekniker för social manipulation (social engineering)
  • Överbelastningsattacker (Denial-of-service)
  • Content injection (innehållsinjektion) är utanför omfattningen såvida du inte tydligt kan påvisa en betydande risk för Proton eller dess användare
  • Körning av skript på sandlådedomäner
  • Kraschrapporter för mobilappar som inte går att reproducera på aktuella OS-versioner eller mobilenheter som släppts inom de senaste två (2) kalenderåren
  • Säkerhetsproblem utanför ramen för Protons uppdrag
  • Fel som kräver extremt osannolika användarinteraktioner
  • WordPress-fel (vänligen rapportera dessa till WordPress)
  • Fel på shop.proton.me (vänligen rapportera dessa till Shopify)
  • Fel på proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com och help.protonmail.com (vänligen rapportera dessa till Zendesk)
  • Fel på status.proton.me (vänligen rapportera dessa till Atlassian)
  • Proof of concepts som kräver fysisk åtkomst till enheten
  • Föråldrad mjukvara – Av olika skäl använder vi inte alltid de senaste mjukvaruversionerna, men vi använder mjukvara som är fullt säkerhetsuppdaterad
  • Brister som påverkar föråldrade webbläsare
  • Fel på partners.proton.me (vänligen rapportera dessa till TUNE)
  • Fel på localize.proton.me (vänligen rapportera dessa till Discourse)

Rapportera en sårbarhet

Rapporter accepteras via e-post till security@proton.me. Accepterade format för meddelanden är oformaterad text, formaterad text och HTML. Vi uppmanar dig att kryptera inskickat material med vår offentliga PGP-nyckel när du skickar in sårbarheter.

  • Vi föredrar rapporter som inkluderar proof-of-concept-kod som visar på ett utnyttjande av sårbarheten.
  • Rapporter bör innehålla en detaljerad teknisk beskrivning av de steg som krävs för att reproducera sårbarheten, inklusive en beskrivning av eventuella verktyg som behövs för att identifiera eller utnyttja sårbarheten.
  • Bilder (t.ex. skärmdumpar) och andra dokument kan bifogas till rapporter. Det är till hjälp om bilagor ges beskrivande namn.
  • Vi ber att alla skript eller exploit-koder bäddas in i icke-körbara filtyper.
  • Vi kan behandla alla vanliga filtyper och arkiv, inklusive zip, 7zip och gzip.

Forskare kan skicka rapporter anonymt eller lämna kontaktinformation, inklusive hur och när Proton Security-teamet ska kontakta dem. Vi kan komma att kontakta forskare för att klargöra delar av den inskickade rapporten eller samla in annan teknisk information.

Genom att skicka en rapport till Proton intygar du att rapporten och eventuella bilagor inte kränker någon tredje parts immateriella rättigheter. Du ger också Proton en icke-exklusiv, royaltyfri, världsomspännande, ständig licens att använda, reproducera, skapa bearbetningar av och publicera rapporten och eventuella bilagor.


Offentliggörande

Proton är fast beslutna att åtgärda sårbarheter i rätt tid. Vi kommer att arbeta flitigt för att lösa alla problem som utsätter vår community för risker. Vi ber alla forskare att ha tålamod med oss medan vi undersöker de rapporter ni skickar till oss, eftersom ett offentliggörande av en sårbarhet i avsaknad av en tillgänglig korrigerande åtgärd sannolikt ökar snarare än minskar säkerhetsrisken för vår community.

Följaktligen kräver vi att du avstår från att dela information om upptäckta sårbarheter under 120 kalenderdagar efter att du har mottagit vår bekräftelse på mottagandet av din rapport. Om du anser att andra bör informeras om sårbarheten innan vi genomför korrigerande åtgärder, måste du samordna detta i förväg med Proton Security-teamet.

Vi kan komma att dela sårbarhetsrapporter med berörda leverantörer. Vi kommer inte att dela namn eller kontaktuppgifter till säkerhetsforskare om vi inte fått uttryckligt tillstånd.


Frågor?

Frågor gällande denna policy kan skickas till security@proton.me. Proton uppmuntrar säkerhetsforskare att kontakta oss för förtydliganden om någon del av denna policy.

Vänligen kontakta oss om du är osäker på om en specifik testmetod är oförenlig med eller inte tas upp av denna policy innan du påbörjar testning. Vi inbjuder också säkerhetsforskare att kontakta oss med förslag på hur denna policy kan förbättras.


I händelse av avvikelser mellan den engelska versionen av detta innehåll och någon översatt version, ska den engelska versionen gälla.