หน้าแรก Proton
แก้ไขล่าสุด: 30 กรกฎาคม 2025

นโยบายการเปิดเผยช่องโหว่

ในฐานะบริษัทที่ก่อตั้งโดยนักวิทยาศาสตร์ที่พบกันที่ CERN มีความเชื่อมั่นในการประเมินโดยผู้เชี่ยวชาญในสาขาเดียวกัน ด้วยเหตุนี้ จึงสนับสนุนชุมชนความปลอดภัยที่เป็นอิสระเพื่อช่วยรักษาความปลอดภัยของระบบและปกป้องข้อมูลที่ละเอียดอ่อนจากการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ขอสนับสนุนให้นักวิจัยด้านความปลอดภัยติดต่อเพื่อรายงานช่องโหว่ที่อาจเกิดขึ้นซึ่งตรวจพบในผลิตภัณฑ์ของ Proton

นโยบายนี้ระบุเกี่ยวกับ:

  • ระบบและแอปพลิเคชันใดบ้างที่อยู่ในขอบเขต
  • วิธีการวิจัยด้านความปลอดภัยประเภทใดบ้างที่ครอบคลุม
  • วิธีการรายงานช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น
  • ปรัชญาการเปิดเผยช่องโหว่และระยะเวลาที่ขอให้รอคอยก่อนที่จะเปิดเผยช่องโหว่ต่อสาธารณะ

Proton จะยืนยันการรับรายงานที่เป็นไปตามนโยบายการเปิดเผยช่องโหว่ภายในห้า (5) วันทำการ เมื่อได้รับรายงาน จะพยายามตรวจสอบความถูกต้องของข้อมูลที่ส่งมา ดำเนินการแก้ไข (หากเหมาะสม) และแจ้งให้นักวิจัยทราบเกี่ยวกับการจัดการกับช่องโหว่ที่ได้รับรายงานโดยเร็วที่สุด

หากมีความพยายามโดยสุจริตที่จะปฏิบัติตามนโยบายนี้ในระหว่างการวิจัยด้านความปลอดภัย จะถือว่าการวิจัยดังกล่าวได้รับอนุญาตตามนโยบาย Legal Safe Harbor ของ Proton จะประสานงานร่วมกันเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว และจะไม่แนะนำหรือดำเนินคดีทางกฎหมายสำหรับการดำเนินการใดๆ ที่เกี่ยวข้องกับการวิจัย

วิธีการทดสอบ

นักวิจัยด้านความปลอดภัยต้องไม่:

  • ทดสอบระบบอื่นใดนอกเหนือจากระบบที่ระบุไว้ในส่วนขอบเขตด้านล่าง
  • เปิดเผยข้อมูลช่องโหว่ เว้นแต่จะระบุไว้ในส่วนการรายงานช่องโหว่และการเปิดเผยข้อมูลด้านล่าง
  • มีส่วนร่วมในการทดสอบทางกายภาพของอาคารสถานที่หรือทรัพยากร
  • มีส่วนร่วมในวิศวกรรมสังคม
  • ส่งอีเมลที่ไม่พึงประสงค์ไปยังผู้ใช้ Proton รวมถึงข้อความ "ฟิชชิ่ง"
  • ดำเนินการหรือพยายามดำเนินการโจมตีแบบ "ปฏิเสธการให้บริการ" หรือ "ทำให้ทรัพยากรหมดสิ้น"
  • นำซอฟต์แวร์ที่เป็นอันตรายเข้าสู่ระบบของ Proton หรือบุคคลที่สามใดๆ
  • ทำการทดสอบที่อาจลดทอนประสิทธิภาพการทำงานของระบบ Proton หรือตั้งใจทำให้ระบบ SEC บกพร่อง หยุดชะงัก หรือปิดใช้งาน
  • ทดสอบแอปพลิเคชัน เว็บไซต์ หรือบริการของบุคคลที่สามที่ผสานรวมหรือเชื่อมโยงไปยังหรือมาจากระบบของ Proton
  • ลบ เปลี่ยนแปลง แชร์ เก็บรักษา หรือทำลายข้อมูลของ Proton หรือทำให้ไม่สามารถเข้าถึงข้อมูลของ Proton ได้
  • ใช้ช่องโหว่เพื่อขโมยข้อมูล เข้าถึงบรรทัดคำสั่ง ติดตั้งเพื่อคงอยู่ระยะยาวในระบบของ Proton หรือเชื่อมต่อไปยังระบบอื่นของ Proton

นักวิจัยด้านความปลอดภัยอาจ:

  • ดูหรือจัดเก็บข้อมูลที่ไม่เป็นสาธารณะของ Proton เฉพาะเท่าที่จำเป็นเพื่อบันทึกหลักฐานการมีอยู่ของช่องโหว่ที่อาจเกิดขึ้นเท่านั้น

นักวิจัยด้านความปลอดภัยต้อง:

  • ยุติการทดสอบและแจ้งให้ทราบทันทีเมื่อพบช่องโหว่
  • ยุติการทดสอบและแจ้งให้ทราบทันทีเมื่อพบการรั่วไหลของข้อมูลที่ไม่เป็นสาธารณะ
  • ล้างข้อมูลที่ไม่เป็นสาธารณะใดๆ ที่จัดเก็บไว้หลังจากรายงานช่องโหว่แล้ว

ขอบเขต

ระบบและบริการต่อไปนี้อยู่ในขอบเขต:

Proton

  • เว็บไซต์ proton.me
  • เว็บแอป account.proton.me

Proton Calendar

  • เว็บแอป calendar.proton.me
  • แอป Proton Calendar (Android และ iOS/iPad)

Proton Drive

  • เว็บแอป drive.proton.me
  • แอป Proton Drive (Android, iOS/iPad [เวอร์ชันเบต้า] และ Windows)

Proton Docs

  • เว็บแอป docs.proton.me

Proton Mail

  • เว็บแอป mail.proton.me
  • เว็บแอป api.protonmail.ch
  • แอป Proton Mail บนมือถือ (Android และ iOS/iPad)
  • แอป Proton Bridge (GNU/Linux, macOS และ Windows)
  • Proton Scribe

Proton Pass

  • เว็บแอป pass.proton.me
  • แอป Proton Pass บนมือถือ (Android, iOS/iPad)
  • แอป Proton Pass บนเดสก์ท็อป (Linux, macOS และ Windows)
  • ส่วนขยายเว็บ Proton Pass (Chrome และ Firefox)

Proton Authenticator

  • แอป Proton Authenticator บนมือถือ (Android, iOS/iPad)
  • แอป Proton Authenticator บนเดสก์ท็อป (Linux, macOS และ Windows)

Proton VPN

  • เว็บไซต์ VPN protonvpn.com
  • เว็บแอป account.protonvpn.com
  • เว็บแอป api.protonvpn.ch
  • แอป Proton VPN (Android, iOS/iPad, Linux, macOS และ Windows)
  • ส่วนขยายเว็บ Proton VPN (Android TV, Apple TV, Chrome, Chromebook และ Firefox)

Proton Wallet

  • เว็บแอป wallet.proton.me
  • แอป Proton Wallet (Android, iOS)

Lumo by Proton

  • เว็บแอป lumo.proton.me
  • แอป Proton Lumo (Android, iOS)

SimpleLogin

  • เว็บไซต์ simplelogin.io
  • เว็บแอป app.simplelogin.io
  • แอป SimpleLogin บนมือถือ (Android และ iOS)
  • ส่วนขยายเบราว์เซอร์ SimpleLogin (Chrome, Edge, Firefox และ Safari)

Standard Notes

  • เว็บไซต์ standardnotes.com
  • เว็บแอป app.standardnotes.com
  • แอป Standard Notes (Android, iOS/iPad, Linux, macOS และ Windows)

บริการใดๆ ที่ไม่ได้ระบุไว้ข้างต้นอย่างชัดเจนจะถือว่าอยู่นอกขอบเขตของนโยบายนี้ เพื่อความชัดเจน ขอบเขตนี้รวมถึงแต่ไม่จำกัดเพียง:

  • สแปม
  • เทคนิควิศวกรรมสังคม
  • การโจมตีเพื่อปฏิเสธการให้บริการ (Denial-of-service)
  • การฉีดเนื้อหา (Content injection) อยู่นอกเหนือขอบเขต เว้นแต่จะสามารถแสดงให้เห็นถึงความเสี่ยงที่สำคัญต่อ Proton หรือผู้ใช้อย่างชัดเจน
  • การเรียกใช้สคริปต์บนโดเมนแซนด์บ็อกซ์ (Sandboxed domains)
  • รายงานข้อขัดข้องของแอปมือถือที่ไม่สามารถจำลองซ้ำได้บน OS เวอร์ชันล่าสุด หรือบนอุปกรณ์เคลื่อนที่ที่เปิดตัวภายในสอง (2) ปีปฏิทินที่ผ่านมา
  • ปัญหาความปลอดภัยภายนอกขอบเขตพันธกิจของ Proton
  • บั๊กที่ต้องอาศัยการโต้ตอบของผู้ใช้ในกรณีที่เป็นไปได้ยากอย่างยิ่ง
  • บั๊กของ WordPress (โปรดรายงานไปยัง WordPress)
  • บั๊กบน shop.proton.me (โปรดรายงานไปยัง Shopify)
  • บั๊กบน proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com และ help.protonmail.com (โปรดรายงานไปยัง Zendesk)
  • บั๊กบน status.proton.me (โปรดรายงานไปยัง Atlassian)
  • การพิสูจน์แนวคิด (Proof of concepts) ที่ต้องอาศัยการเข้าถึงอุปกรณ์ทางกายภาพ
  • ซอฟต์แวร์ที่ล้าสมัย — เนื่องจากเหตุผลหลายประการ จึงอาจไม่ได้ใช้ซอฟต์แวร์เวอร์ชันล่าสุดเสมอไป แต่ใช้ซอฟต์แวร์ที่ได้รับการติดตั้งโปรแกรมแก้ไข (Patch) ครบถ้วนแล้ว
  • ข้อบกพร่องที่ส่งผลกระทับต่อเบราว์เซอร์ที่ล้าสมัย
  • บั๊กบน partners.proton.me (โปรดรายงานไปยัง TUNE)
  • บั๊กบน localize.proton.me (โปรดรายงานไปยัง Discourse)

การรายงานช่องโหว่

รับรายงานผ่านทางอีเมลอิเล็กทรอนิกส์ที่ security@proton.me รูปแบบข้อความที่รองรับ ได้แก่ ข้อความธรรมดา Rich Text และ HTML ขอแนะนำให้เข้ารหัสข้อมูลที่ส่งโดยใช้คีย์สาธารณะ PGP เมื่อรายงานช่องโหว่

  • ควรแนบรหัสแนวคิดพิสูจน์ยืนยัน (proof-of-concept) ที่แสดงให้เห็นถึงการใช้ประโยชน์จากช่องโหว่มาในรายงานด้วย
  • รายงานควรระบุรายละเอียดคำอธิบายทางเทคนิคเกี่ยวกับขั้นตอนที่จำเป็นในการจำลองช่องโหว่ รวมถึงคำอธิบายเกี่ยวกับเครื่องมือที่จำเป็นในการระบุหรือใช้ประโยชน์จากช่องโหว่ดังกล่าว
  • สามารถแนบรูปภาพ (เช่น การจับภาพหน้าจอ) และเอกสารอื่นๆ มาพร้อมกับรายงานได้ ควรตั้งชื่อไฟล์แนบให้สื่อความหมายอย่างชัดเจน
  • ขอความร่วมมือในการฝังสคริปต์หรือรหัสโจมตีช่องโหว่ลงในประเภทไฟล์ที่ไม่สามารถเรียกทำงานได้ (non-executable)
  • สามารถประมวลผลไฟล์และที่เก็บถาวรประเภททั่วไปทั้งหมดได้ รวมถึง zip, 7zip และ gzip

นักวิจัยสามารถส่งรายงานโดยไม่ระบุตัวตน หรือให้ข้อมูลติดต่อ รวมถึงระบุวิธีและเวลาที่ทีมความปลอดภัยของ Proton ควรติดต่อกลับได้ อาจมีการติดต่อนักวิจัยเพื่อขอคำชี้แจงในบางประเด็นของรายงานที่ส่งมา หรือรวบรวมข้อมูลทางเทคนิคอื่นๆ

การส่งรายงานไปยัง Proton ถือเป็นการยืนยันว่ารายงานและไฟล์แนบใดๆ ไม่ได้ละเมิดสิทธิ์ในทรัพย์สินทางปัญญาของบุคคลภายนอก พร้อมทั้งอนุญาตให้ Proton มีสิทธิ์ใช้งาน ทำซ้ำ สร้างสรรค์ผลงานต่อเนื่อง และเผยแพร่รายงานรวมถึงไฟล์แนบใดๆ แบบไม่ผูกขาด ไม่มีค่าลิขสิทธิ์ ทั่วโลก และตลอดไป


การเปิดเผยข้อมูล

Proton มุ่งมั่นที่จะแก้ไขช่องโหว่ต่างๆ อย่างทันท่วงที จะดำเนินงานอย่างขยันขันแข็งเพื่อแก้ไขปัญหาใดๆ ที่ทำให้ชุมชนตกอยู่ในความเสี่ยง ขอความร่วมมือจากนักวิจัยทุกท่านโปรดอดใจรอในระหว่างการตรวจสอบรายงานที่ส่งเข้ามา เนื่องจากทำการเปิดเผยช่องโหว่ต่อสาธารณะโดยที่ยังไม่มีแนวทางแก้ไขที่พร้อมใช้งาน อาจเป็นการเพิ่มความเสี่ยงด้านความปลอดภัยของชุมชนมากกว่าที่จะลดลง

ดังนั้น จึงขอความร่วมมือให้งดเว้นการแชร์ข้อมูลเกี่ยวกับช่องโหว่ที่ตรวจพบเป็นเวลา 120 วันปฏิทิน หลังจากได้รับแจ้งการตอบรับรายงานแล้ว หากเห็นว่าควรแจ้งให้ผู้อื่นทราบเกี่ยวกับช่องโหว่ดังกล่าวก่อนที่จะมีการดำเนินการแก้ไข ต้องประสานงานล่วงหน้ากับทีมความปลอดภัยของ Proton

อาจมีการแชร์รายงานช่องโหว่กับผู้ให้บริการที่ได้รับผลกระทบ จะไม่มีการแชร์ชื่อหรือข้อมูลการติดต่อของนักวิจัยด้านความปลอดภัย เว้นแต่จะได้รับอนุญาตอย่างชัดเจน


คำถาม?

สามารถส่งคำถามเกี่ยวกับนโยบายนี้มาได้ที่ security@proton.me Proton สนับสนุนให้นักวิจัยด้านความปลอดภัยติดต่อสอบถามเพื่อขอความชัดเจนเกี่ยวกับองค์ประกอบใดๆ ของนโยบายนี้

โปรด ติดต่อ หากไม่แน่ใจว่าวิธีการทดสอบเฉพาะทางใดขัดแย้งกับนโยบายนี้ หรือไม่ได้ระบุไว้ในนโยบายนี้หรือไม่ ก่อนเริ่มทำการทดสอบ นอกจากนี้ ยังขอเชิญชวนให้นักวิจัยด้านความปลอดภัยติดต่อเข้ามาเพื่อเสนอแนะแนวทางในการปรับปรุงนโยบายนี้


ในกรณีที่มีความแตกต่างระหว่างเนื้อหาฉบับภาษาอังกฤษและฉบับแปล ให้ยึดถือฉบับภาษาอังกฤษเป็นหลัก