โปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ของ Proton
ชุมชน Proton ไว้วางใจในบริการเพื่อช่วยดูแลรักษาข้อมูลให้ปลอดภัย ความไว้วางใจดังกล่าวเป็นสิ่งสำคัญอย่างยิ่ง จึงมีความมุ่งมั่นที่จะทำงานร่วมกับชุมชนนักวิจัยด้านความปลอดภัยเพื่อระบุ ตรวจสอบ และแก้ไขช่องโหว่ที่อาจเกิดขึ้น
หากเป็นนักวิจัยด้านความปลอดภัย สามารถช่วยให้บริการของ Proton มีความปลอดภัยยิ่งขึ้น ได้รับการยอมรับในฐานะผู้สนับสนุนด้านความปลอดภัย และอาจได้รับรางวัลตอบแทน และจะมีส่วนช่วยในการสร้างอินเทอร์เน็ตที่ดีกว่าเดิม ซึ่งกำหนดให้ความเป็นส่วนตัวเป็นค่าเริ่มต้น

ขอบเขตและกฎเกณฑ์ของโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่
ก่อนส่งรายงานช่องโหว่ไปยังโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ของ Proton ควรอ่านเอกสารต่อไปนี้:
นโยบายการเปิดเผยช่องโหว่อธิบายถึงวิธีการทดสอบที่ยอมรับในโปรแกรม
นโยบาย Safe Harbor อธิบายถึงการทดสอบและการดำเนินการที่ได้รับการคุ้มครองจากการรับผิดเมื่อรายงานช่องโหว่ไปยังโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ของ Proton
วิธีการรายงานช่องโหว่
สามารถส่งรายงานช่องโหว่ได้ทางอีเมลที่ security@proton.me สามารถส่งรายงานโดยใช้ข้อความธรรมดา Rich Text หรือ HTML
หากไม่ได้ใช้ Proton Mail ขอแนะนำให้เข้ารหัสข้อมูลที่ส่งโดยใช้ คีย์สาธารณะ PGP
ช่องโหว่ที่เข้าเกณฑ์
ปัญหาด้านการออกแบบหรือการทำงานที่มีผลกระทบอย่างมีนัยสำคัญต่อการรักษาความลับหรือความถูกต้องครบถ้วนของข้อมูลผู้ใช้ จะได้รับการพิจารณาให้อยู่ในขอบเขตของโปรแกรมรางวัลสำหรับผู้เจอช่องโหว่ ซึ่งรวมถึงแต่ไม่จำกัดเพียงสิ่งต่อไปนี้:
เว็บแอปพลิเคชั่น
Cross-site scripting
สคริปต์เนื้อหาแบบผสม
Cross-site request forgery
ข้อบกพร่องในการยืนยันตัวตนและการกำหนดสิทธิ์
บั๊กการรันรหัสฝั่งเซิร์ฟเวอร์
ช่องโหว่ของ REST API
แอปพลิเคชั่นบนเดสก์ท็อป
การรันรหัสจากระยะไกลผ่านแอป Proton
การรั่วไหลของข้อมูลภายในเครื่อง ข้อมูลยืนยันตัวตน หรือข้อมูลพวงกุญแจ
จุดอ่อนในการยืนยันตัวตนและการกำหนดสิทธิ์
กลไกการอัปเดตหรือการลงนามรหัสที่ไม่ปลอดภัย
ช่องโหว่การยกระดับสิทธิ์ภายในเครื่อง
แอปพลิเคชั่นบนมือถือ
การละเมิดความปลอดภัยของข้อมูลภายในเครื่องบนอุปกรณ์มือถือ
ข้อบกพร่องในการยืนยันตัวตนและการกำหนดสิทธิ์
บั๊กการรันรหัสฝั่งเซิร์ฟเวอร์
เซิร์ฟเวอร์
การยกระดับสิทธิ์
การโจมตีช่องโหว่ SMTP (เช่น open relays)
การเข้าถึงเชลล์โดยไม่ได้รับอนุญาต
การเข้าถึง API โดยไม่ได้รับอนุญาต
การตัดสินการส่งรายงานและการพิจารณารางวัล
พร้อมยอมรับและมอบรางวัลให้แก่การวิจัยด้านความปลอดภัยด้วยความสุจริตใจซึ่งเป็นไปตามนโยบายนี้
มูลค่ารางวัลจะได้รับการประเมินเป็นรายกรณีโดยคณะกรรมการตัดสิน ซึ่งประกอบด้วยสมาชิกในทีมความปลอดภัยและทีมวิศวกรรมของ Proton คณะกรรมการชุดนี้จะเป็นผู้ตัดสินชี้ขาดในขั้นตอนสุดท้ายเกี่ยวกับการมอบรางวัล และผู้เข้าร่วมต้องตกลงที่จะยอมรับการตัดสินใจดังกล่าว
ความรุนแรงของผลกระทบต่อข้อมูลผู้ใช้ Proton คือปัจจัยหลักในการกำหนดมูลค่ารางวัล ตัวเลขที่ระบุด้านล่างคือช่วงรางวัลมาตรฐาน การจ่ายรางวัลจริงอาจแตกต่างกันไปตามปัจจัยต่าง ๆ เช่น:
เงื่อนไขเบื้องต้น: การโจมตีช่องโหว่นั้นขึ้นอยู่กับข้อกำหนดเพิ่มเติมอื่น ๆ นอกเหนือจากตัวช่องโหว่เองหรือไม่ เช่น:
- การตั้งค่าผู้ใช้ที่ไม่พบบ่อย – ขึ้นอยู่กับการกำหนดค่าหรือการตั้งค่าผู้ใช้ที่ผิดปกติ
- การกำหนดค่าที่ไม่ใช่ค่าเริ่มต้น – ต้องตั้งค่าซอฟต์แวร์ Proton ในรูปแบบที่ไม่เป็นมาตรฐาน
- ความน่าเชื่อถือของการเจาะระบบ – ความสำเร็จไม่แน่นอน ตัวอย่างเช่น ความสำเร็จที่คาดเดาไม่ได้เนื่องจากสภาวะแย่งชิง (race conditions) หรืออัตราความสำเร็จของ RCE ต่ำ
- สถานะอุปกรณ์ในเครื่อง – ต้องใช้สิทธิ์ระดับสูง อุปกรณ์ที่ผ่านการเจลเบรก/รูท และ/หรือการเข้าถึงทางกายภาพ
- สภาพแวดล้อมหรือเงื่อนไขเครือข่าย – ขึ้นอยู่กับเงื่อนไขภายนอกที่เกิดขึ้นได้ยากหรือไม่น่าจะเกิดขึ้น
ขอบเขตของผลกระทบ: ขอบเขตที่การรักษาความลับ ความถูกต้องครบถ้วน หรือความพร้อมใช้งานของบริการอาจได้รับผลกระทบ
ค่าของห่วงโซ่การเจาะระบบ: ปัญหานั้นสามารถมีส่วนทำให้เกิดห่วงโซ่ช่องโหว่ที่กว้างขึ้นได้หรือไม่
ความสามารถในการเจาะระบบ: ความเป็นไปได้ที่จะสามารถใช้ปัญหาดังกล่าวในการโจมตีจริง
ความแปลกใหม่: ปัญหาดังกล่าวเป็นปัญหาใหม่ มีรายงานก่อนหน้านี้ หรือเปิดเผยต่อสาธารณะแล้วหรือไม่ โดยรายงานที่ถูกต้องฉบับแรกเท่านั้นที่มีสิทธิ์ได้รับรางวัล
คุณภาพของข้อมูลที่ส่ง: ต้องมีหลักฐานการพิสูจน์แนวคิด (proof-of-concept) ที่ทำซ้ำได้ หรือแสดงเส้นทางผลกระทบอย่างชัดเจน แนะนำให้ใช้รหัสหรือรหัสเทียม (pseudocode) เป็นอย่างยิ่ง
ในกรณีพิเศษ อาจมีการเพิ่มเงินรางวัลจนถึงจำนวนรางวัลสูงสุด
จำนวนเงินรางวัล
รางวัลสูงสุด: USD 100,000
ความรุนแรงระดับวิกฤต: USD 25,000 - USD 50,000
การค้นพบช่องโหว่ที่ทำให้สามารถควบคุมสภาพแวดล้อมของบริการโดยไม่ได้รับอนุญาตอย่างสมบูรณ์และต่อเนื่อง หรือโจมตีการรักษาความลับหรือความถูกต้องครบถ้วนของข้อมูลผู้ใช้ทั้งหมด โดยไม่จำเป็นต้องมีเงื่อนไขพิเศษหรือการเข้าถึงล่วงหน้า
ความรุนแรงระดับสูง: USD 2,500 - USD 25,000
การค้นพบช่องโหว่ที่นำไปสู่การควบคุมสภาพแวดล้อมของบริการส่วนใหญ่โดยไม่ได้รับอนุญาตอย่างต่อเนื่อง หรือการละเมิดข้อมูลการรักษาความลับหรือความถูกต้องครบถ้วนของข้อมูลที่ส่งผลกระทบต่อกลุ่มผู้ใช้ในวงกว้าง — โดยไม่ต้องมีเงื่อนไขพิเศษหรือการเข้าถึงล่วงหน้า — แต่ยังไม่ถึงขั้นโจมตีบริการอย่างเต็มรูปแบบ
ความรุนแรงระดับปานกลาง: USD 1,000 - USD 2,500
การค้นพบช่องโหว่ที่ทำให้สามารถควบคุมส่วนหนึ่งส่วนใดของสภาพแวดล้อมของบริการโดยไม่ได้รับอนุญาต หรือโจมตีความถูกต้องครบถ้วนหรือการรักษาความลับของข้อมูลผู้ใช้สำหรับผู้ใช้รายเดียวหรือกลุ่มขนาดเล็ก หรือในอีกทางหนึ่ง ช่องโหว่ที่มีผลกระทบกว้างกว่าซึ่งต้องอาศัยการปฏิสัมพันธ์ของผู้ใช้อย่างมีนัยสำคัญหรือเงื่อนไขเฉพาะ แต่ยังส่งผลให้ข้อมูลหรือการควบคุมที่ละเอียดอ่อนถูกเปิดเผย
ความรุนแรงระดับต่ำ: พิจารณาเป็นรายกรณี ไม่มีรางวัลเป็นตัวเงินโดยค่าเริ่มต้น
การค้นพบช่องโหว่ที่มีผลกระทบจำกัดหรือภายใต้เงื่อนไขที่ไม่น่าจะเกิดขึ้นได้
ข้อกำหนดคุณสมบัติที่เข้าเกณฑ์
ผลการค้นพบที่อธิบายถึงพฤติกรรมที่กำหนดไว้ คำแนะนำทางทฤษฎีหรือแนวทางปฏิบัติที่ดีที่สุดที่ไม่มีเส้นทางการเจาะระบบที่เป็นรูปธรรมจะไม่เข้าเกณฑ์ได้รับรางวัล ผู้รายงานที่ถูกต้องรายแรกของช่องโหว่ที่เข้าเกณฑ์แต่ละรายการจะได้รับเงินรางวัลหลังจากที่ Proton ยืนยันปัญหาและปรับใช้การแก้ไขเรียบร้อยแล้ว
คำถาม
คำถามเกี่ยวกับนโยบายนี้สามารถส่งไปที่ security@proton.me Proton สนับสนุนให้นักวิจัยด้านความปลอดภัยติดต่อสอบถามเพื่อขอความชัดเจนเกี่ยวกับองค์ประกอบใดๆ ของนโยบายนี้
โปรดติดต่อเพื่อสอบถามหากไม่แน่ใจว่าวิธีการทดสอบเฉพาะเจาะจงนั้นไม่สอดคล้องกับนโยบายนี้ หรือไม่ได้ระบุไว้ในนโยบายนี้ก่อนที่จะเริ่มการทดสอบ นอกจากนี้ ยังขอเชิญชวนให้นักวิจัยด้านความปลอดภัยติดต่อเข้ามาเพื่อเสนอแนะแนวทางในการปรับปรุงนโยบายนี้