Güvenlik açığı açıklama ilkesi
Son değişiklik: 25 Temmuz 2024
CERN kuruluşunda tanışan bilim insanlarının kurduğu bir şirket olarak, akran değerlendirmesine inanıyoruz. Bu nedenle, sistemlerimizin güvenliğini sağlamamıza ve hassas bilgilerin yetkisiz kişilerce ele geçirilmesinden korumamıza yardımcı olması için bağımsız güvenlik topluluğunu destekliyoruz. Güvenlik araştırmacılarının, Proton ürünlerinde bulunabilecek olası güvenlik açıklarını bildirmeleri için bizimle iletişim kurmalarını istiyoruz.
Bu ilke şunları belirler:
- Kapsanan sistem ve uygulamalar
- Kapsanan güvenlik araştırma yöntemleri
- Potansiyel güvenlik açıklarını bize nasıl bildirebileceğiniz
- Güvenlik açıklarını açıklama felsefemiz ve güvenlik açıklarını kamuya duyurmadan önce sizden ne kadar beklemenizi isteyeceğimiz
Proton, güvenlik açığı açıklama ilkesine uygun bildirimlerin alındığını beş (5) iş günü içinde onaylayacaktır. Aldıktan sonra, gönderimleri doğrulamaya, düzeltici eylemler uygulamaya (uygunsa) ve bildirilen güvenlik açıklarının durumu hakkında araştırmacıları en az gecikmeyle bilgilendirmeye çalışacağız.
Güvenlik araştırmanız sırasında bu ilkeye uymak için iyi niyetli bir çaba gösterirseniz, araştırmanızın Proton yasal güvenli liman ilkesine göre yetkilendirilmiş olduğunu kabul edeceğiz. Sorunu hızlı bir şekilde anlamak ve çözmek için sizinle birlikte çalışacağız ve araştırmanızla ilgili eylemleriniz için size karşı yasal bir işlem yürütmeyeceğiz veya dava açmayacağız.
Sınama yöntemleri
Güvenlik araştırmacıları şunları yapmamalıdır:
- Aşağıdaki kapsam bölümünde belirtilen sistemlerden farklı bir sistemi sınamak
- Bir güvenlik açığını bildirme ve açıklama bölümlerinde belirtilenler dışında güvenlik açığı bilgilerini açıklamak
- Tesislerin veya kaynakların fiziksel testine katılmak
- Sosyal mühendislikle uğraşmak
- "Oltalama" iletileri ile birlikte Proton kullanıcılarına istenmeyen elektronik posta göndermek
- "Hizmet reddi" veya "kaynak tükenmesi" saldırıları gerçekleştirmek veya gerçekleştirmeye çalışmak
- Kötü amaçlı yazılımları Proton veya herhangi bir üçüncü tarafın sistemlerine sokmak
- Proton sistemlerinin çalışmasını engelleyebilecek veya kasıtlı olarak güvenlik sistemlerini bozabilecek veya kullanılmasını engelleyecek sınamalar yapmak
- Proton sistemleriyle bütünleşik veya Proton sistemlerine bağlanan veya bunlar üzerinden bağlanan üçüncü taraf uygulamalarını, sitelerini veya hizmetleri sınamak
- Proton verilerini silmek, değiştirmek, paylaşmak, saklamak veya yok etmek ya da Proton verilerini erişilemez hale getirmek
- Verileri sızdırmak, komut satırı erişimi sağlamak, Proton sistemlerinde kalıcı bir varlık oluşturmak veya diğer Proton sistemlerine "geçmek" için bir açığı kullanmak
Güvenlik araştırmacıları şunları yapabilir:
- Herkese açık olmayan Proton verilerini yalnızca olası bir güvenlik açığının varlığını belgelemek için gerekli olduğu ölçüde görüntülemek veya saklamak
Güvenlik araştırmacıları şunları yapmalıdır:
- Bir güvenlik açığı bulunduğunda sınamayı durdurmak ve hemen bizi bilgilendirmek
- Herkese açık olmayan verilerin açığa çıktığını fark ettiğinde sınamayı durdurmak ve hemen bizi bilgilendirmek
- Bir güvenlik açığını bildirdikten sonra kaydedilmiş herkese açık olmayan verileri temizlemek
Kapsam
Şu sistem ve hizmetler kapsanır:
- Sitemiz, proton.me
- account.proton.me internet uygulaması
- Proton Mail
- mail.proton.me internet uygulaması
- Proton Mail Android ve iOS uygulamaları
- api.protonmail.ch
- Proton Drive
- drive.proton.me internet uygulaması
- Proton Drive Windows ve Android uygulamaları
- Proton Drive iOS/iPad uygulaması (beta)
- Proton Calendar
- calendar.proton.me internet uygulaması
- Proton Calendar iOS/iPad uygulaması (beta)
- SimpleLogin
- Proton VPN
- VPN sitemiz, protonvpn.com
- account.protonvpn.com
- api.protonvpn.ch
- Proton VPN Windows, macOS, Linux, iOS/iPad ve Android uygulamaları
- Windows, macOS ve GNU/Linux için Proton Bridge
- Proton Pass
- Proton Pass mobil uygulamaları (Android ve iOS)
- Proton Pass tarayıcı eklentileri
- Proton Wallet
- wallet.proton.me internet uygulaması
- Proton Scribe
Yukarıda açıkça listelenmeyen hizmetler bu ilkenin kapsamı dışındadır. Açık olması için, şunlar kapsanır, ancak bunlarla sınırlı değildir:
- İstenmeyenlere taşı
- Sosyal mühendislik teknikleri
- Hizmet reddi saldırıları
- Proton veya kullanıcıları için önemli bir riski açıkça gösteremediğiniz sürece içerik enjeksiyonu kapsam dışındadır
- Korunan alandaki etki alanlarında betikler yürütülmesi
- Son iki (2) takvim yılı içinde yayınlanan güncel işletim sistemi sürümlerinde veya mobil aygıtlarda yeniden üretilemeyen mobil uygulama çökme bildirimleri
- Proton Mail amacının kapsamı dışındaki güvenlik sorunları
- Olasılığı düşük olan kullanıcı etkileşimleri gerektiren hatalar
- WordPress hataları (ancak lütfen bunları WordPress tarafına bildirin)
- shop.proton.me hataları (lütfen bunları Shopify tarafına bildirin)
- proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com ve help.protonmail.com hataları (lütfen bunları Zendesk tarafına bildirin)
- status.proton.me adresindeki hatalar (lütfen bunları Atlassian tarafına bildirin)
- Aygıta fiziksel erişim gerektiren kavramsal kanıtlar
- Güncel olmayan yazılımlar. Çeşitli nedenlerle, her zaman güncel yazılım sürümlerini çalıştırmıyoruz, ancak yazılımlara tüm yamaları uyguluyoruz
- Güncel olmayan tarayıcıları etkileyen açıklar
- partners.proton.me hataları (lütfen bunları TUNE tarafına bildirin)
- localize.proton.me hataları (lütfen bunları Discourse tarafına bildirin)
Bir güvenlik açığını bildirmek
Bildirimler, security@proton.me adresinden elektronik posta yoluyla kabul edilir. İletiler düz metin, zengin metin ve HTML biçiminde kabul edilebilir. Güvenlik açıklarını gönderirken herkese açık PGP anahtarımızı kullanarak gönderimleri şifrelemenizi öneririz.
- Güvenlik açığından yararlanıldığını gösteren kavram kanıtı kodunu içeren bildirimleri yeğliyoruz.
- Bildirimler, güvenlik açığını yeniden oluşturmak için gerekli adımların ayrıntılı bir teknik açıklamasını sağlamalı ve güvenlik açığını yakalamak veya güvenlik açığından yararlanmak için gereken tüm araçların açıklamasını da içermelidir.
- Bildirimlere görseller (ekran görüntüleri gibi) ve diğer belgeler eklenebilir. Ek dosyalara açıklayıcı adlar vermek yararlıdır.
- Tüm betik dosyalarının veya yararlanma kodlarının yürütülemeyen dosya türleri içine yerleştirilmesini istiyoruz.
- Zip, 7zip ve gzip gibi tüm yaygın dosya türlerini ve arşivleri işleyebiliriz.
Araştırmacılar, bildirimleri anonim olarak gönderebilir veya Proton güvenlik ekibinin kendileriyle nasıl ve ne zaman iletişime geçmesi gerektiğini ve iletişim bilgilerini belirtebilir. Gönderilen bildirimin bazı yönlerini açıklığa kavuşturmak veya diğer teknik bilgileri toplamak için araştırmacılarla iletişim kurabiliriz.
Proton tarafına bir bildirim gönderdiğinizde, bildirimin ve ek dosyaların herhangi bir üçüncü tarafın fikri mülkiyet haklarını ihlal etmediğini kabul etmiş olursunuz. Ayrıca Proton'a, özel olmayan, telifsiz, Dünya çapında, sürekli bir kullanım, çoğaltma, türev çalışmalar oluşturma ve bildirim ile ek dosyalarını yayınlama lisansı vermiş olursunuz.
Açıklama
Proton, güvenlik açıklarını en kısa zamanda gidereceğine söz verir. Topluluğumuzu riske atan sorunları çözmek için özenle çalışacağız. Hazır bir düzeltici önlem yoksa, bir güvenlik açığının kamuya açıklanması, topluluğumuzun güvenlik riskini azaltmak yerine büyük olasılıkla artıracağından, tüm araştırmacılardan, biz gönderdikleri bildirimler üzerinde çalışırken sabırla beklemelerini rica ediyoruz.
Buna göre, bizden bildiriminizin elimize geçtiğinin onayını aldıktan sonra 120 takvim günü boyunca keşfedilen güvenlik açıklarıyla ilgili bilgileri paylaşmaktan kaçınmanızı istiyoruz. Düzeltici eylemleri uygulamamızdan önce başkalarına bu güvenlik açığının bildirilmesi gerektiğine inanıyorsanız, önceden Proton güvenlik ekibiyle koordinasyon sağlamalısınız.
Güvenlik açığı bildirimlerini etkilenen satıcılarla paylaşabiliriz. Açıkça izin verilmedikçe güvenlik araştırmacılarının adlarını veya iletişim bilgilerini paylaşmayacağız.
Sorularınız?
Bu ilkeyle ilgili sorularınızı security@proton.me adresine gönderebilirsiniz. Proton, bu ilkenin herhangi bir maddesindeki ayrıntıları güvenlik araştırmacıları ile değerlendirmeye açıktır.
Emin değilseniz lütfen sınamaya başlamadan önce belirli bir sınama yöntemi bu ilkeyle tutarsızsa veya bu ilke tarafından ele alınmamışsa bize ulaşın. Güvenlik araştırmacılarını bu ilkeyi geliştirmeye yönelik önerileri için bizimle görüşmeye davet ediyoruz.