นโยบายการเปิดเผยช่องโหว่
ในฐานะบริษัทที่ก่อตั้งโดยนักวิทยาศาสตร์ที่พบกันที่ CERN มีความเชื่อมั่นในการประเมินโดยผู้เชี่ยวชาญในสาขาเดียวกัน ด้วยเหตุนี้ จึงสนับสนุนชุมชนความปลอดภัยที่เป็นอิสระเพื่อช่วยรักษาความปลอดภัยของระบบและปกป้องข้อมูลที่ละเอียดอ่อนจากการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ขอสนับสนุนให้นักวิจัยด้านความปลอดภัยติดต่อเพื่อรายงานช่องโหว่ที่อาจเกิดขึ้นซึ่งตรวจพบในผลิตภัณฑ์ของ Proton
นโยบายนี้ระบุเกี่ยวกับ:
- ระบบและแอปพลิเคชันใดบ้างที่อยู่ในขอบเขต
- วิธีการวิจัยด้านความปลอดภัยประเภทใดบ้างที่ครอบคลุม
- วิธีการรายงานช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น
- ปรัชญาการเปิดเผยช่องโหว่และระยะเวลาที่ขอให้รอคอยก่อนที่จะเปิดเผยช่องโหว่ต่อสาธารณะ
Proton จะยืนยันการรับรายงานที่เป็นไปตามนโยบายการเปิดเผยช่องโหว่ภายในห้า (5) วันทำการ เมื่อได้รับรายงาน จะพยายามตรวจสอบความถูกต้องของข้อมูลที่ส่งมา ดำเนินการแก้ไข (หากเหมาะสม) และแจ้งให้นักวิจัยทราบเกี่ยวกับการจัดการกับช่องโหว่ที่ได้รับรายงานโดยเร็วที่สุด
หากมีความพยายามโดยสุจริตที่จะปฏิบัติตามนโยบายนี้ในระหว่างการวิจัยด้านความปลอดภัย จะถือว่าการวิจัยดังกล่าวได้รับอนุญาตตามนโยบาย Legal Safe Harbor ของ Proton จะประสานงานร่วมกันเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว และจะไม่แนะนำหรือดำเนินคดีทางกฎหมายสำหรับการดำเนินการใดๆ ที่เกี่ยวข้องกับการวิจัย
วิธีการทดสอบ
นักวิจัยด้านความปลอดภัยต้องไม่:
- ทดสอบระบบอื่นใดนอกเหนือจากระบบที่ระบุไว้ในส่วนขอบเขตด้านล่าง
- เปิดเผยข้อมูลช่องโหว่ เว้นแต่จะระบุไว้ในส่วนการรายงานช่องโหว่และการเปิดเผยข้อมูลด้านล่าง
- มีส่วนร่วมในการทดสอบทางกายภาพของอาคารสถานที่หรือทรัพยากร
- มีส่วนร่วมในวิศวกรรมสังคม
- ส่งอีเมลที่ไม่พึงประสงค์ไปยังผู้ใช้ Proton รวมถึงข้อความ "ฟิชชิ่ง"
- ดำเนินการหรือพยายามดำเนินการโจมตีแบบ "ปฏิเสธการให้บริการ" หรือ "ทำให้ทรัพยากรหมดสิ้น"
- นำซอฟต์แวร์ที่เป็นอันตรายเข้าสู่ระบบของ Proton หรือบุคคลที่สามใดๆ
- ทำการทดสอบที่อาจลดทอนประสิทธิภาพการทำงานของระบบ Proton หรือตั้งใจทำให้ระบบ SEC บกพร่อง หยุดชะงัก หรือปิดใช้งาน
- ทดสอบแอปพลิเคชัน เว็บไซต์ หรือบริการของบุคคลที่สามที่ผสานรวมหรือเชื่อมโยงไปยังหรือมาจากระบบของ Proton
- ลบ เปลี่ยนแปลง แชร์ เก็บรักษา หรือทำลายข้อมูลของ Proton หรือทำให้ไม่สามารถเข้าถึงข้อมูลของ Proton ได้
- ใช้ช่องโหว่เพื่อขโมยข้อมูล เข้าถึงบรรทัดคำสั่ง ติดตั้งเพื่อคงอยู่ระยะยาวในระบบของ Proton หรือเชื่อมต่อไปยังระบบอื่นของ Proton
นักวิจัยด้านความปลอดภัยอาจ:
- ดูหรือจัดเก็บข้อมูลที่ไม่เป็นสาธารณะของ Proton เฉพาะเท่าที่จำเป็นเพื่อบันทึกหลักฐานการมีอยู่ของช่องโหว่ที่อาจเกิดขึ้นเท่านั้น
นักวิจัยด้านความปลอดภัยต้อง:
- ยุติการทดสอบและแจ้งให้ทราบทันทีเมื่อพบช่องโหว่
- ยุติการทดสอบและแจ้งให้ทราบทันทีเมื่อพบการรั่วไหลของข้อมูลที่ไม่เป็นสาธารณะ
- ล้างข้อมูลที่ไม่เป็นสาธารณะใดๆ ที่จัดเก็บไว้หลังจากรายงานช่องโหว่แล้ว
ขอบเขต
ระบบและบริการต่อไปนี้อยู่ในขอบเขต:
Proton
- เว็บไซต์ proton.me
- เว็บแอป account.proton.me
Proton Calendar
- เว็บแอป calendar.proton.me
- แอป Proton Calendar (Android และ iOS/iPad)
Proton Drive
- เว็บแอป drive.proton.me
- แอป Proton Drive (Android, iOS/iPad [เวอร์ชันเบต้า] และ Windows)
Proton Docs
- เว็บแอป docs.proton.me
Proton Mail
- เว็บแอป mail.proton.me
- เว็บแอป api.protonmail.ch
- แอป Proton Mail บนมือถือ (Android และ iOS/iPad)
- แอป Proton Bridge (GNU/Linux, macOS และ Windows)
- Proton Scribe
Proton Pass
- เว็บแอป pass.proton.me
- แอป Proton Pass บนมือถือ (Android, iOS/iPad)
- แอป Proton Pass บนเดสก์ท็อป (Linux, macOS และ Windows)
- ส่วนขยายเว็บ Proton Pass (Chrome และ Firefox)
Proton Authenticator
- แอป Proton Authenticator บนมือถือ (Android, iOS/iPad)
- แอป Proton Authenticator บนเดสก์ท็อป (Linux, macOS และ Windows)
Proton VPN
- เว็บไซต์ VPN protonvpn.com
- เว็บแอป account.protonvpn.com
- เว็บแอป api.protonvpn.ch
- แอป Proton VPN (Android, iOS/iPad, Linux, macOS และ Windows)
- ส่วนขยายเว็บ Proton VPN (Android TV, Apple TV, Chrome, Chromebook และ Firefox)
Proton Wallet
- เว็บแอป wallet.proton.me
- แอป Proton Wallet (Android, iOS)
Lumo by Proton
- เว็บแอป lumo.proton.me
- แอป Proton Lumo (Android, iOS)
SimpleLogin
- เว็บไซต์ simplelogin.io
- เว็บแอป app.simplelogin.io
- แอป SimpleLogin บนมือถือ (Android และ iOS)
- ส่วนขยายเบราว์เซอร์ SimpleLogin (Chrome, Edge, Firefox และ Safari)
Standard Notes
- เว็บไซต์ standardnotes.com
- เว็บแอป app.standardnotes.com
- แอป Standard Notes (Android, iOS/iPad, Linux, macOS และ Windows)
บริการใดๆ ที่ไม่ได้ระบุไว้ข้างต้นอย่างชัดเจนจะถือว่าอยู่นอกขอบเขตของนโยบายนี้ เพื่อความชัดเจน ขอบเขตนี้รวมถึงแต่ไม่จำกัดเพียง:
- สแปม
- เทคนิควิศวกรรมสังคม
- การโจมตีเพื่อปฏิเสธการให้บริการ (Denial-of-service)
- การฉีดเนื้อหา (Content injection) อยู่นอกเหนือขอบเขต เว้นแต่จะสามารถแสดงให้เห็นถึงความเสี่ยงที่สำคัญต่อ Proton หรือผู้ใช้อย่างชัดเจน
- การเรียกใช้สคริปต์บนโดเมนแซนด์บ็อกซ์ (Sandboxed domains)
- รายงานข้อขัดข้องของแอปมือถือที่ไม่สามารถจำลองซ้ำได้บน OS เวอร์ชันล่าสุด หรือบนอุปกรณ์เคลื่อนที่ที่เปิดตัวภายในสอง (2) ปีปฏิทินที่ผ่านมา
- ปัญหาความปลอดภัยภายนอกขอบเขตพันธกิจของ Proton
- บั๊กที่ต้องอาศัยการโต้ตอบของผู้ใช้ในกรณีที่เป็นไปได้ยากอย่างยิ่ง
- บั๊กของ WordPress (โปรดรายงานไปยัง WordPress)
- บั๊กบน shop.proton.me (โปรดรายงานไปยัง Shopify)
- บั๊กบน proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com และ help.protonmail.com (โปรดรายงานไปยัง Zendesk)
- บั๊กบน status.proton.me (โปรดรายงานไปยัง Atlassian)
- การพิสูจน์แนวคิด (Proof of concepts) ที่ต้องอาศัยการเข้าถึงอุปกรณ์ทางกายภาพ
- ซอฟต์แวร์ที่ล้าสมัย — เนื่องจากเหตุผลหลายประการ จึงอาจไม่ได้ใช้ซอฟต์แวร์เวอร์ชันล่าสุดเสมอไป แต่ใช้ซอฟต์แวร์ที่ได้รับการติดตั้งโปรแกรมแก้ไข (Patch) ครบถ้วนแล้ว
- ข้อบกพร่องที่ส่งผลกระทับต่อเบราว์เซอร์ที่ล้าสมัย
- บั๊กบน partners.proton.me (โปรดรายงานไปยัง TUNE)
- บั๊กบน localize.proton.me (โปรดรายงานไปยัง Discourse)
การรายงานช่องโหว่
รับรายงานผ่านทางอีเมลอิเล็กทรอนิกส์ที่ security@proton.me รูปแบบข้อความที่รองรับ ได้แก่ ข้อความธรรมดา Rich Text และ HTML ขอแนะนำให้เข้ารหัสข้อมูลที่ส่งโดยใช้คีย์สาธารณะ PGP เมื่อรายงานช่องโหว่
- ควรแนบรหัสแนวคิดพิสูจน์ยืนยัน (proof-of-concept) ที่แสดงให้เห็นถึงการใช้ประโยชน์จากช่องโหว่มาในรายงานด้วย
- รายงานควรระบุรายละเอียดคำอธิบายทางเทคนิคเกี่ยวกับขั้นตอนที่จำเป็นในการจำลองช่องโหว่ รวมถึงคำอธิบายเกี่ยวกับเครื่องมือที่จำเป็นในการระบุหรือใช้ประโยชน์จากช่องโหว่ดังกล่าว
- สามารถแนบรูปภาพ (เช่น การจับภาพหน้าจอ) และเอกสารอื่นๆ มาพร้อมกับรายงานได้ ควรตั้งชื่อไฟล์แนบให้สื่อความหมายอย่างชัดเจน
- ขอความร่วมมือในการฝังสคริปต์หรือรหัสโจมตีช่องโหว่ลงในประเภทไฟล์ที่ไม่สามารถเรียกทำงานได้ (non-executable)
- สามารถประมวลผลไฟล์และที่เก็บถาวรประเภททั่วไปทั้งหมดได้ รวมถึง zip, 7zip และ gzip
นักวิจัยสามารถส่งรายงานโดยไม่ระบุตัวตน หรือให้ข้อมูลติดต่อ รวมถึงระบุวิธีและเวลาที่ทีมความปลอดภัยของ Proton ควรติดต่อกลับได้ อาจมีการติดต่อนักวิจัยเพื่อขอคำชี้แจงในบางประเด็นของรายงานที่ส่งมา หรือรวบรวมข้อมูลทางเทคนิคอื่นๆ
การส่งรายงานไปยัง Proton ถือเป็นการยืนยันว่ารายงานและไฟล์แนบใดๆ ไม่ได้ละเมิดสิทธิ์ในทรัพย์สินทางปัญญาของบุคคลภายนอก พร้อมทั้งอนุญาตให้ Proton มีสิทธิ์ใช้งาน ทำซ้ำ สร้างสรรค์ผลงานต่อเนื่อง และเผยแพร่รายงานรวมถึงไฟล์แนบใดๆ แบบไม่ผูกขาด ไม่มีค่าลิขสิทธิ์ ทั่วโลก และตลอดไป
การเปิดเผยข้อมูล
Proton มุ่งมั่นที่จะแก้ไขช่องโหว่ต่างๆ อย่างทันท่วงที จะดำเนินงานอย่างขยันขันแข็งเพื่อแก้ไขปัญหาใดๆ ที่ทำให้ชุมชนตกอยู่ในความเสี่ยง ขอความร่วมมือจากนักวิจัยทุกท่านโปรดอดใจรอในระหว่างการตรวจสอบรายงานที่ส่งเข้ามา เนื่องจากทำการเปิดเผยช่องโหว่ต่อสาธารณะโดยที่ยังไม่มีแนวทางแก้ไขที่พร้อมใช้งาน อาจเป็นการเพิ่มความเสี่ยงด้านความปลอดภัยของชุมชนมากกว่าที่จะลดลง
ดังนั้น จึงขอความร่วมมือให้งดเว้นการแชร์ข้อมูลเกี่ยวกับช่องโหว่ที่ตรวจพบเป็นเวลา 120 วันปฏิทิน หลังจากได้รับแจ้งการตอบรับรายงานแล้ว หากเห็นว่าควรแจ้งให้ผู้อื่นทราบเกี่ยวกับช่องโหว่ดังกล่าวก่อนที่จะมีการดำเนินการแก้ไข ต้องประสานงานล่วงหน้ากับทีมความปลอดภัยของ Proton
อาจมีการแชร์รายงานช่องโหว่กับผู้ให้บริการที่ได้รับผลกระทบ จะไม่มีการแชร์ชื่อหรือข้อมูลการติดต่อของนักวิจัยด้านความปลอดภัย เว้นแต่จะได้รับอนุญาตอย่างชัดเจน
คำถาม?
สามารถส่งคำถามเกี่ยวกับนโยบายนี้มาได้ที่ security@proton.me Proton สนับสนุนให้นักวิจัยด้านความปลอดภัยติดต่อสอบถามเพื่อขอความชัดเจนเกี่ยวกับองค์ประกอบใดๆ ของนโยบายนี้
โปรด ติดต่อ หากไม่แน่ใจว่าวิธีการทดสอบเฉพาะทางใดขัดแย้งกับนโยบายนี้ หรือไม่ได้ระบุไว้ในนโยบายนี้หรือไม่ ก่อนเริ่มทำการทดสอบ นอกจากนี้ ยังขอเชิญชวนให้นักวิจัยด้านความปลอดภัยติดต่อเข้ามาเพื่อเสนอแนะแนวทางในการปรับปรุงนโยบายนี้
ในกรณีที่มีความแตกต่างระหว่างเนื้อหาฉบับภาษาอังกฤษและฉบับแปล ให้ยึดถือฉบับภาษาอังกฤษเป็นหลัก