Trang chủ Proton

Chương trình tiền thưởng tìm lỗi Proton

Cộng đồng Proton tin tưởng các dịch vụ để bảo vệ an toàn thông tin. Sự tin tưởng đó luôn được coi trọng, đó là lý do Proton luôn nỗ lực hợp tác với cộng đồng nghiên cứu bảo mật để xác định, xác minh và khắc phục các lỗ hổng tiềm ẩn.

Nếu là một nhà nghiên cứu bảo mật, có thể giúp các dịch vụ Proton trở nên an toàn hơn, được công nhận là người đóng góp bảo mật và có cơ hội nhận phần thưởng. Đồng thời góp phần xây dựng một internet tốt đẹp hơn, nơi quyền riêng tư là mặc định.

Phạm vi và quy tắc chương trình tiền thưởng tìm lỗi

Trước khi gửi báo cáo lỗ hổng cho Chương trình tiền thưởng tìm lỗi Proton, nên đọc các tài liệu sau:

  • Chính sách công bố lỗ hổng mô tả các phương thức thử nghiệm được chấp nhận của chương trình.

  • Chính sách bến cảng an toàn giải thích những thử nghiệm và hành động nào được miễn trừ trách nhiệm pháp lý khi báo cáo lỗ hổng cho Chương trình tiền thưởng tìm lỗi Proton

Làm thế nào để báo cáo lỗ hổng?

Có thể gửi báo cáo lỗ hổng qua email tại security@proton.me. Có thể gửi báo cáo bằng văn bản thuần túy, văn bản có định dạng hoặc HTML.

Nếu không sử dụng Proton Mail, khuyến khích mã hóa báo cáo gửi đi bằng khóa công khai PGP.

Lỗ hổng đủ điều kiện

Bất kỳ sự cố thiết kế hoặc triển khai nào ảnh hưởng đáng kể đến tính bảo mật hoặc tính toàn vẹn của dữ liệu người dùng đều có thể được xem xét trong phạm vi chương trình tiền thưởng tìm lỗi. Nội dung này bao gồm, nhưng không giới hạn ở:

Ứng dụng web

  • Cross-site scripting

  • Tập lệnh nội dung hỗn hợp

  • Cross-site request forgery

  • Lỗi xác thực hoặc ủy quyền

  • Lỗi thực thi mã phía máy chủ

  • Lỗ hổng REST API

Ứng dụng máy tính

  • Thực thi mã từ xa thông qua ứng dụng Proton

  • Rò rỉ dữ liệu cục bộ, thông tin đăng nhập hoặc thông tin chuỗi khóa

  • Điểm yếu về xác thực và ủy quyền

  • Cơ chế cập nhật hoặc ký mã không an toàn

  • Lỗ hổng leo thang đặc quyền cục bộ

Ứng dụng di động

  • Vi phạm bảo mật dữ liệu cục bộ trên di động

  • Lỗi xác thực hoặc ủy quyền

  • Lỗi thực thi mã phía máy chủ

Máy chủ

  • Leo thang đặc quyền

  • Khai thác SMTP (ví dụ: open relay)

  • Truy cập shell trái phép

  • Truy cập API trái phép

Trường hợp loại trừ phạm vi

Đánh giá báo cáo gửi về và xác định phần thưởng

Nghiên cứu bảo mật có thiện chí được thực hiện theo chính sách này sẽ được ghi nhận và khen thưởng.

Giá trị tiền thưởng được hội đồng giám định, bao gồm các thành viên đội ngũ Kỹ thuật và Bảo mật Proton, đánh giá theo từng trường hợp cụ thể. Hội đồng này đưa ra mọi quyết định cuối cùng liên quan đến việc trao thưởng và người tham gia phải đồng ý tôn trọng những quyết định này.

Mức độ nghiêm trọng của tác động đối với dữ liệu của người dùng Proton là yếu tố chính để xác định giá trị phần thưởng. Các số liệu được liệt kê dưới đây thể hiện mức thưởng tiêu chuẩn. Khoản thanh toán thực tế có thể thay đổi dựa trên các yếu tố như:

  • Điều kiện tiên quyết: liệu việc khai thác có phụ thuộc vào các yêu cầu bổ sung ngoài bản thân lỗ hổng đó hay không, ví dụ:

    • Cài đặt người dùng không phổ biến – phụ thuộc vào cấu hình hoặc cài đặt người dùng không điển hình.
    • Cấu hình không mặc định – yêu cầu thiết lập phần mềm Proton theo cách không chuẩn.
    • Độ tin cậy khai thác – thành công không nhất quán, ví dụ: thành công bất định do điều kiện tranh chấp, tỷ lệ thành công RCE thấp.
    • Trạng thái thiết bị cục bộ – yêu cầu đặc quyền nâng cao, thiết bị đã bẻ khóa (jailbreak/root) và/hoặc quyền truy cập vật lý.
    • Điều kiện môi trường hoặc mạng – phụ thuộc vào các điều kiện bên ngoài hiếm gặp hoặc khó xảy ra.
  • Phạm vi ảnh hưởng: Mức độ bảo mật, toàn vẹn hoặc khả dụng của các dịch vụ có thể bị ảnh hưởng.

  • Giá trị chuỗi khai thác: Liệu sự cố có thể đóng góp vào một chuỗi lỗ hổng rộng hơn hay không.

  • Khả năng khai thác: Khả năng sự cố có thể bị lợi dụng trong một cuộc tấn công thực tế.

  • Tính mới: Liệu sự cố là mới, đã được báo cáo trước đó hay đã được công khai; chỉ báo cáo hợp lệ đầu tiên mới đủ điều kiện.

  • Chất lượng báo cáo: Phải bao gồm mã kiểm thử (proof-of-concept) có thể tái dựng hoặc một đường dẫn rõ ràng hiển thị tác động. Mã hoặc giả mã được đặc biệt ưu tiên.

Trong các trường hợp ngoại lệ, phần thưởng có thể được tăng lên đến mức tối đa.

Giá trị phần thưởng

  • Phần thưởng tối đa: 100.000 USD

  • Mức độ nghiêm trọng chí mạng: 25.000 USD - 50.000 USD

    Phát hiện lỗ hổng cho phép kiểm soát toàn bộ và lâu dài môi trường dịch vụ trái phép, hoặc xâm phạm tính bảo mật hoặc toàn vẹn dữ liệu của tất cả người dùng mà không yêu cầu điều kiện đặc biệt hoặc quyền truy cập trước.

  • Mức độ nghiêm trọng cao: 2.500 USD - 25.000 USD

    Phát hiện lỗ hổng dẫn đến quyền kiểm soát trái phép lâu dài đối với phần lớn môi trường dịch vụ, hoặc vi phạm nghiêm trọng tính bảo mật hoặc toàn vẹn dữ liệu ảnh hưởng đến một nhóm lớn người dùng — không yêu cầu điều kiện đặc biệt hoặc truy cập trước — nhưng vẫn chưa đến mức xâm phạm toàn bộ dịch vụ.

  • Mức độ nghiêm trọng trung bình: 1.000 USD - 2.500 USD

    Phát hiện lỗ hổng cho phép kiểm soát trái phép một phần môi trường dịch vụ, hoặc xâm phạm tính toàn vẹn hoặc bảo mật dữ liệu của một người dùng duy nhất hoặc một nhóm nhỏ. Hoặc các lỗ hổng có tác động rộng hơn yêu cầu tương tác đáng kể của người dùng hoặc các điều kiện cụ thể, nhưng vẫn dẫn đến việc lộ dữ liệu nhạy cảm hoặc quyền kiểm soát.

  • Mức độ nghiêm trọng thấp: Xem xét theo từng trường hợp, không có phần thưởng tiền mặt theo mặc định

    Phát hiện lỗ hổng có tác động hạn chế hoặc xảy ra trong các điều kiện khó xảy ra.

Yêu cầu về điều kiện tham gia

Các phát hiện mô tả hành vi dự kiến, khuyến nghị lý thuyết hoặc phương pháp hay nhất mà không có đường dẫn khai thác cụ thể sẽ không đủ điều kiện. Người báo cáo hợp lệ đầu tiên cho mỗi lỗ hổng đủ điều kiện sẽ nhận được khoản thanh toán tương ứng sau khi Proton xác nhận sự cố và triển khai bản sửa lỗi.

Câu hỏi

Câu hỏi liên quan đến chính sách này có thể được gửi đến security@proton.me. Proton khuyến khích các nhà nghiên cứu bảo mật liên hệ để làm rõ bất kỳ nội dung nào trong chính sách này.

Vui lòng liên hệ nếu không chắc chắn liệu một phương pháp thử nghiệm cụ thể có không nhất quán với hoặc không được đề cập trong chính sách này hay không trước khi bắt đầu thử nghiệm. Đồng thời hoan nghênh các nhà nghiên cứu bảo mật liên hệ đóng góp ý kiến để cải thiện chính sách này.