Hata bulma ödülü programı
Proton topluluğu, bilgilerini güvende tutmak için hizmetlerimize güveniyor. Bu güveni ciddiye alıyoruz, bu nedenle olası güvenlik açıklarını belirlemek, doğrulamak ve çözmek için güvenlik araştırma topluluğuyla birlikte çalışmaya kararlıyız.
Bir güvenlik araştırmacısıysanız, Proton hizmetlerini daha güvenli hale getirmeye, güvenlik katılımcısı olarak tanınmaya ve bir ödül kazanma olasılığına yardımcı olabilirsiniz. Ve gizliliğin varsayılan olduğu daha iyi bir internet inşa etmede rol oynayacaksınız.

Hata bulma ödül programı kapsamı ve kuralları
Proton hata bulma ödülü programına bir güvenlik açığı göndermeden önce aşağıdaki belgeleri okumalısınız:
Güvenlik açığı açıklama ilkemiz, programın kabul edilen sınama yöntemlerini açıklar.
Güvenli liman ilkemiz, güvenlik açıklarını Proton hata bulma ödülü programına bildirdiğinizde hangi sınamaların ve eylemlerin sorumluluktan korunduğunu açıklar
Güvenlik açığı nasıl bildirilir?
Güvenlik açığı bildirimlerini security@proton.me adresinden e-posta ile gönderebilirsiniz. Bildirimleri düz metin, zengin metin veya HTML biçiminde gönderebilirsiniz.
Proton Mail kullanmıyorsanız, gönderimlerinizi PGP herkese açık anahtarımızı kullanarak şifrelemenizi öneririz.
Sınıflandırılmış güvenlik açıkları
Kullanıcı verilerinin gizliliğini veya bütünlüğünü önemli ölçüde etkileyen herhangi bir tasarım veya uygulama sorununu, muhtemelen hata bulma ödül programımız kapsamında değerlendireceğiz. Şunlar da kapsanır ancak bunlarla sınırlı değildir:
İnternet uygulamaları
Siteler arası betik çalıştırma
Karışık içerik betikleri
Siteler arası istek sahteciliği
Kimlik doğrulama ya da yetki açıkları
Sunucu tarafında kod yürütme hataları
REST API güvenlik açıkları
Bilgisayar uygulamaları
Proton uygulamaları üzerinden uzaktan kod yürütme
Yerel verilerin, kimlik doğrulama bilgilerinin veya anahtarlık bilgilerinin sızdırılması
Kimlik doğrulama ve yetkilendirme zayıflıkları
Güvensiz güncelleme veya kod imzalama mekanizmaları
Yerel ayrıcalık yükseltme güvenlik açıkları
Mobil uygulamalar
Mobil yerel verilerin ele geçirilmesi
Kimlik doğrulama ya da yetki açıkları
Sunucu tarafında kod yürütme hataları
Sunucular
Yetki yükseltme
SMTP istismarları (örneğin, açık aktarıcılar)
Yetkisiz kabuk erişimi
Yetkisiz API erişimi
Başvuruların değerlendirilmesi ve ödüllerin belirlenmesi
Bu ilkeye uygun olarak yürütülen iyi niyetli güvenlik araştırmalarını tanıyor ve ödüllendiriyoruz.
Ödül tutarları, Proton Güvenlik ve Mühendislik ekibi üyelerinden oluşan değerlendirme panelimiz tarafından vaka bazında değerlendirilir. Bu panel, ödüllerle ilgili tüm nihai kararları verir ve katılımcılar bu kararlara saygı göstermeyi kabul etmelidir.
Proton kullanıcılarının verileri üzerindeki etkinin ciddiyeti, ödül tutarlarını belirlemede birincil faktördür. Aşağıda listelenen rakamlar standart ödül aralıklarını temsil eder. Gerçek ödemeler, aşağıdaki gibi faktörlere bağlı olarak değişebilir:
Ön koşullar: İstismarın, güvenlik açığının kendisinin ötesinde ek gereksinimlere bağlı olup olmadığı, örneğin:
- Yaygın olmayan kullanıcı ayarları – tipik olmayan kullanıcı yapılandırmalarına veya ayarlarına dayanır.
- Varsayılan olmayan yapılandırmalar – Proton yazılımının standart olmayan bir şekilde ayarlanmasını gerektirir.
- İstismar güvenilirliği – başarı tutarsızdır; örneğin, yarış koşulları veya düşük RCE başarı oranları nedeniyle başarı kesin değildir.
- Yerel aygıt durumu – yükseltilmiş ayrıcalıklar, jailbreak yapılmış/rootlanmış bir aygıt ve/veya fiziksel erişim gerektirir.
- Çevresel veya ağ koşulları – nadir veya olası olmayan dış koşullara bağlıdır.
Etki kapsamı: Hizmetlerimizin gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ne ölçüde etkilenebileceği.
İstismar zinciri değeri: Sorunun daha geniş bir güvenlik açığı zincirine katkıda bulunup bulunamayacağı.
İstismar edilebilirlik: Sorunun gerçek dünyadaki bir saldırıda kullanılma olasılığı.
Yenilik: Sorunun yeni, daha önce bildirilmiş veya zaten halka açık olup olmadığı; yalnızca ilk geçerli başvuru uygundur.
Başvuru kalitesi: Tekrarlanabilir bir kavram kanıtı veya etkiyi gösteren açık bir yol içermelidir. Kod veya sözde kod (pseudocode) kesinlikle tercih edilir.
İstisnai durumlarda, ödüller maksimum ödül tutarına kadar artırılabilir.
Ödül tutarları
Maksimum ödül: 100.000 USD
Kritik ciddiyet: 25.000 USD - 50.000 USD
Özel koşullar veya önceden erişim gerektirmeksizin, hizmet ortamının tam ve sürekli yetkisiz kontrolüne olanak tanıyan veya tüm kullanıcıların verilerinin gizliliğinden veya bütünlüğünden ödün veren bir güvenlik açığının keşfi.
Yüksek ciddiyet: 2.500 USD - 25.000 USD
Hizmet ortamının büyük bir kısmı üzerinde sürekli yetkisiz kontrole veya — özel koşullar veya önceden erişim gerektirmeksizin — geniş bir kullanıcı grubu etkileyen önemli bir veri gizliliği veya bütünlüğü ihlaline yol açan, ancak yine de tam hizmetin ele geçirilmesi seviyesine ulaşmayan bir güvenlik açığının keşfi.
Orta ciddiyet: 1.000 USD - 2.500 USD
Hizmet ortamının bir kısmı üzerinde yetkisiz kontrole izin veren veya tek bir kullanıcı ya da küçük bir grup için kullanıcı verilerinin bütünlüğünden veya gizliliğinden ödün veren bir güvenlik açığının keşfi. Alternatif olarak, önemli kullanıcı etkileşimi veya belirli koşullar gerektiren, ancak yine de hassas verilerin veya kontrollerin açığa çıkmasına yol açan daha geniş etkili güvenlik açıkları.
Düşük ciddiyet: Vaka bazında, varsayılan olarak parasal ödül yok
Sınırlı etkisi olan veya gerçekleşmesi muhtemel olmayan koşullara sahip bir güvenlik açığının keşfi.
Uygunluk gereksinimleri
İstismara giden somut bir yol olmaksızın amaçlanan davranışı, teorik veya en iyi uygulama önerilerini açıklayan bulgular uygun değildir. Nitelikli her güvenlik açığını bildiren ilk geçerli kişi, Proton sorunu onayladıktan ve bir düzeltme dağıttıktan sonra ilgili ödemeyi alır.
Sorularınız
Bu ilkeyle ilgili sorularınızı security@proton.me adresine gönderebilirsiniz. Proton, bu ilkenin herhangi bir maddesindeki ayrıntıları güvenlik araştırmacıları ile değerlendirmeye açıktır.
Emin değilseniz lütfen sınamaya başlamadan önce belirli bir sınama yöntemi bu ilkeyle tutarsızsa veya bu ilke tarafından ele alınmamışsa bize ulaşın. Güvenlik araştırmacılarını bu ilkeyi geliştirmeye yönelik önerileri için bizimle görüşmeye davet ediyoruz.