หน้าแรก Proton

โปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ของ Proton

ชุมชน Proton ไว้วางใจในบริการเพื่อช่วยดูแลรักษาข้อมูลให้ปลอดภัย ความไว้วางใจดังกล่าวเป็นสิ่งสำคัญอย่างยิ่ง จึงมีความมุ่งมั่นที่จะทำงานร่วมกับชุมชนนักวิจัยด้านความปลอดภัยเพื่อระบุ ตรวจสอบ และแก้ไขช่องโหว่ที่อาจเกิดขึ้น

หากเป็นนักวิจัยด้านความปลอดภัย สามารถช่วยให้บริการของ Proton มีความปลอดภัยยิ่งขึ้น ได้รับการยอมรับในฐานะผู้สนับสนุนด้านความปลอดภัย และอาจได้รับรางวัลตอบแทน และจะมีส่วนช่วยในการสร้างอินเทอร์เน็ตที่ดีกว่าเดิม ซึ่งกำหนดให้ความเป็นส่วนตัวเป็นค่าเริ่มต้น

ขอบเขตและกฎเกณฑ์ของโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่

ก่อนส่งรายงานช่องโหว่ไปยังโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ของ Proton ควรอ่านเอกสารต่อไปนี้:

  • นโยบายการเปิดเผยช่องโหว่อธิบายถึงวิธีการทดสอบที่ยอมรับในโปรแกรม

  • นโยบาย Safe Harbor อธิบายถึงการทดสอบและการดำเนินการที่ได้รับการคุ้มครองจากการรับผิดเมื่อรายงานช่องโหว่ไปยังโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ของ Proton

วิธีการรายงานช่องโหว่

สามารถส่งรายงานช่องโหว่ได้ทางอีเมลที่ security@proton.me สามารถส่งรายงานโดยใช้ข้อความธรรมดา Rich Text หรือ HTML

หากไม่ได้ใช้ Proton Mail ขอแนะนำให้เข้ารหัสข้อมูลที่ส่งโดยใช้ คีย์สาธารณะ PGP

ช่องโหว่ที่เข้าเกณฑ์

ปัญหาด้านการออกแบบหรือการทำงานที่มีผลกระทบอย่างมีนัยสำคัญต่อการรักษาความลับหรือความถูกต้องครบถ้วนของข้อมูลผู้ใช้ จะได้รับการพิจารณาให้อยู่ในขอบเขตของโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ ซึ่งรวมถึงแต่ไม่จำกัดเพียงสิ่งต่อไปนี้:

เว็บแอปพลิเคชั่น

  • Cross-site scripting

  • สคริปต์เนื้อหาแบบผสม

  • Cross-site request forgery

  • ข้อบกพร่องในการยืนยันตัวตนและการกำหนดสิทธิ์

  • บั๊กการรันรหัสฝั่งเซิร์ฟเวอร์

  • ช่องโหว่ของ REST API

แอปพลิเคชั่นบนเดสก์ท็อป

  • การรันรหัสจากระยะไกลผ่านแอป Proton

  • การรั่วไหลของข้อมูลภายในเครื่อง ข้อมูลยืนยันตัวตน หรือข้อมูลพวงกุญแจ

  • จุดอ่อนในการยืนยันตัวตนและการกำหนดสิทธิ์

  • กลไกการอัปเดตหรือการลงนามรหัสที่ไม่ปลอดภัย

  • ช่องโหว่การยกระดับสิทธิ์ภายในเครื่อง

แอปพลิเคชั่นบนมือถือ

  • การละเมิดความปลอดภัยของข้อมูลภายในเครื่องบนอุปกรณ์มือถือ

  • ข้อบกพร่องในการยืนยันตัวตนและการกำหนดสิทธิ์

  • บั๊กการรันรหัสฝั่งเซิร์ฟเวอร์

เซิร์ฟเวอร์

  • การยกระดับสิทธิ์

  • การโจมตีช่องโหว่ SMTP (เช่น open relays)

  • การเข้าถึงเชลล์โดยไม่ได้รับอนุญาต

  • การเข้าถึง API โดยไม่ได้รับอนุญาต

สิ่งที่อยู่นอกเหนือขอบเขต

โปรดดูรายละเอียดที่ นโยบายการเปิดเผยช่องโหว่

การตัดสินการส่งรายงานและการพิจารณารางวัล

พร้อมยอมรับและมอบรางวัลให้แก่การวิจัยด้านความปลอดภัยด้วยความสุจริตใจซึ่งเป็นไปตามนโยบายนี้

มูลค่ารางวัลจะได้รับการประเมินเป็นรายกรณีโดยคณะกรรมการตัดสิน ซึ่งประกอบด้วยสมาชิกในทีมความปลอดภัยและทีมวิศวกรรมของ Proton คณะกรรมการชุดนี้จะเป็นผู้ตัดสินชี้ขาดในขั้นตอนสุดท้ายเกี่ยวกับการมอบรางวัล และผู้เข้าร่วมต้องตกลงที่จะยอมรับการตัดสินใจดังกล่าว

ความรุนแรงของผลกระทบต่อข้อมูลผู้ใช้ Proton คือปัจจัยหลักในการกำหนดมูลค่ารางวัล ตัวเลขที่ระบุด้านล่างคือช่วงรางวัลมาตรฐาน การจ่ายรางวัลจริงอาจแตกต่างกันไปตามปัจจัยต่าง ๆ เช่น:

  • เงื่อนไขเบื้องต้น: การโจมตีช่องโหว่นั้นขึ้นอยู่กับข้อกำหนดเพิ่มเติมอื่น ๆ นอกเหนือจากตัวช่องโหว่เองหรือไม่ เช่น:

    • การตั้งค่าผู้ใช้ที่ไม่พบบ่อย – ขึ้นอยู่กับการกำหนดค่าหรือการตั้งค่าผู้ใช้ที่ผิดปกติ
    • การกำหนดค่าที่ไม่ใช่ค่าเริ่มต้น – ต้องตั้งค่าซอฟต์แวร์ Proton ในรูปแบบที่ไม่เป็นมาตรฐาน
    • ความน่าเชื่อถือของการเจาะระบบ – ความสำเร็จไม่แน่นอน ตัวอย่างเช่น ความสำเร็จที่คาดเดาไม่ได้เนื่องจากสภาวะแย่งชิง (race conditions) หรืออัตราความสำเร็จของ RCE ต่ำ
    • สถานะอุปกรณ์ในเครื่อง – ต้องใช้สิทธิ์ระดับสูง อุปกรณ์ที่ผ่านการเจลเบรก/รูท และ/หรือการเข้าถึงทางกายภาพ
    • สภาพแวดล้อมหรือเงื่อนไขเครือข่าย – ขึ้นอยู่กับเงื่อนไขภายนอกที่เกิดขึ้นได้ยากหรือไม่น่าจะเกิดขึ้น
  • ขอบเขตของผลกระทบ: ขอบเขตที่การรักษาความลับ ความถูกต้องครบถ้วน หรือความพร้อมใช้งานของบริการอาจได้รับผลกระทบ

  • ค่าของห่วงโซ่การเจาะระบบ: ปัญหานั้นสามารถมีส่วนทำให้เกิดห่วงโซ่ช่องโหว่ที่กว้างขึ้นได้หรือไม่

  • ความสามารถในการเจาะระบบ: ความเป็นไปได้ที่จะสามารถใช้ปัญหาดังกล่าวในการโจมตีจริง

  • ความแปลกใหม่: ปัญหาดังกล่าวเป็นปัญหาใหม่ มีรายงานก่อนหน้านี้ หรือเปิดเผยต่อสาธารณะแล้วหรือไม่ โดยรายงานที่ถูกต้องฉบับแรกเท่านั้นที่มีสิทธิ์ได้รับรางวัล

  • คุณภาพของข้อมูลที่ส่ง: ต้องมีหลักฐานการพิสูจน์แนวคิด (proof-of-concept) ที่ทำซ้ำได้ หรือแสดงเส้นทางผลกระทบอย่างชัดเจน แนะนำให้ใช้รหัสหรือรหัสเทียม (pseudocode) เป็นอย่างยิ่ง

ในกรณีพิเศษ อาจมีการเพิ่มเงินรางวัลจนถึงจำนวนรางวัลสูงสุด

จำนวนเงินรางวัล

  • รางวัลสูงสุด: USD 100,000

  • ความรุนแรงระดับวิกฤต: USD 25,000 - USD 50,000

    การค้นพบช่องโหว่ที่ทำให้สามารถควบคุมสภาพแวดล้อมของบริการโดยไม่ได้รับอนุญาตอย่างสมบูรณ์และต่อเนื่อง หรือโจมตีการรักษาความลับหรือความถูกต้องครบถ้วนของข้อมูลผู้ใช้ทั้งหมด โดยไม่จำเป็นต้องมีเงื่อนไขพิเศษหรือการเข้าถึงล่วงหน้า

  • ความรุนแรงระดับสูง: USD 2,500 - USD 25,000

    การค้นพบช่องโหว่ที่นำไปสู่การควบคุมสภาพแวดล้อมของบริการส่วนใหญ่โดยไม่ได้รับอนุญาตอย่างต่อเนื่อง หรือการละเมิดข้อมูลการรักษาความลับหรือความถูกต้องครบถ้วนของข้อมูลที่ส่งผลกระทบต่อกลุ่มผู้ใช้ในวงกว้าง — โดยไม่ต้องมีเงื่อนไขพิเศษหรือการเข้าถึงล่วงหน้า — แต่ยังไม่ถึงขั้นโจมตีบริการอย่างเต็มรูปแบบ

  • ความรุนแรงระดับปานกลาง: USD 1,000 - USD 2,500

    การค้นพบช่องโหว่ที่ทำให้สามารถควบคุมส่วนหนึ่งส่วนใดของสภาพแวดล้อมของบริการโดยไม่ได้รับอนุญาต หรือโจมตีความถูกต้องครบถ้วนหรือการรักษาความลับของข้อมูลผู้ใช้สำหรับผู้ใช้รายเดียวหรือกลุ่มขนาดเล็ก หรือในอีกทางหนึ่ง ช่องโหว่ที่มีผลกระทบกว้างกว่าซึ่งต้องอาศัยการปฏิสัมพันธ์ของผู้ใช้อย่างมีนัยสำคัญหรือเงื่อนไขเฉพาะ แต่ยังส่งผลให้ข้อมูลหรือการควบคุมที่ละเอียดอ่อนถูกเปิดเผย

  • ความรุนแรงระดับต่ำ: พิจารณาเป็นรายกรณี ไม่มีรางวัลเป็นตัวเงินโดยค่าเริ่มต้น

    การค้นพบช่องโหว่ที่มีผลกระทบจำกัดหรือภายใต้เงื่อนไขที่ไม่น่าจะเกิดขึ้นได้

ข้อกำหนดคุณสมบัติที่เข้าเกณฑ์

ผลการค้นพบที่อธิบายถึงพฤติกรรมที่กำหนดไว้ คำแนะนำทางทฤษฎีหรือแนวทางปฏิบัติที่ดีที่สุดที่ไม่มีเส้นทางการเจาะระบบที่เป็นรูปธรรมจะไม่เข้าเกณฑ์ได้รับรางวัล ผู้รายงานที่ถูกต้องรายแรกของช่องโหว่ที่เข้าเกณฑ์แต่ละรายการจะได้รับเงินรางวัลหลังจากที่ Proton ยืนยันปัญหาและปรับใช้การแก้ไขเรียบร้อยแล้ว

คำถาม

คำถามเกี่ยวกับนโยบายนี้สามารถส่งไปที่ security@proton.me Proton สนับสนุนให้นักวิจัยด้านความปลอดภัยติดต่อสอบถามเพื่อขอความชัดเจนเกี่ยวกับองค์ประกอบใดๆ ของนโยบายนี้

โปรดติดต่อเพื่อสอบถามหากไม่แน่ใจว่าวิธีการทดสอบเฉพาะเจาะจงนั้นไม่สอดคล้องกับนโยบายนี้ หรือไม่ได้ระบุไว้ในนโยบายนี้ก่อนที่จะเริ่มการทดสอบ นอกจากนี้ ยังขอเชิญชวนให้นักวิจัยด้านความปลอดภัยติดต่อเข้ามาเพื่อเสนอแนะแนวทางในการปรับปรุงนโยบายนี้