Chính sách công bố lỗ hổng bảo mật
Là công ty do các nhà khoa học gặp nhau tại CERN thành lập, Proton tin tưởng vào quy trình đánh giá ngang hàng. Vì vậy, Proton hỗ trợ cộng đồng bảo mật độc lập nhằm duy trì tính bảo mật của hệ thống và bảo vệ thông tin nhạy cảm khỏi bị tiết lộ trái phép. Các nhà nghiên cứu bảo mật được khuyến khích liên hệ để báo cáo các lỗ hổng tiềm ẩn được phát hiện trong các sản phẩm của Proton.
Chính sách này quy định rõ:
- Các hệ thống và ứng dụng trong phạm vi áp dụng
- Các phương pháp nghiên cứu bảo mật được áp dụng
- Cách báo cáo các lỗ hổng bảo mật tiềm ẩn
- Triết lý công bố lỗ hổng bảo mật và thời gian chờ đợi trước khi công khai lỗ hổng
Proton sẽ xác nhận đã nhận các báo cáo tuân thủ chính sách công bố lỗ hổng bảo mật trong vòng năm (5) ngày làm việc. Sau khi nhận, Proton sẽ cố gắng xác minh thông tin gửi, thực hiện các biện pháp khắc phục (nếu phù hợp) và thông báo cho các nhà nghiên cứu về kết quả xử lý lỗ hổng được báo cáo trong thời gian sớm nhất.
Nếu nỗ lực thiện chí tuân thủ chính sách này trong quá trình nghiên cứu bảo mật, hoạt động nghiên cứu đó sẽ được coi là đã được cho phép theo chính sách vùng an toàn pháp lý của Proton. Proton sẽ hợp tác để nhanh chóng tìm hiểu và giải quyết sự cố, đồng thời cam kết không đề xuất hoặc tiến hành các hành động pháp lý đối với bất kỳ hành vi nào liên quan đến hoạt động nghiên cứu.
Phương pháp kiểm thử
Nhà nghiên cứu bảo mật không được:
- Kiểm thử bất kỳ hệ thống nào khác ngoài các hệ thống được quy định trong phần Phạm vi áp dụng bên dưới
- Tiết lộ thông tin lỗ hổng trừ khi được quy định trong các phần Báo cáo lỗ hổng và Công bố bên dưới
- Thực hiện kiểm thử vật lý đối với các cơ sở vật chất hoặc tài nguyên
- Thực hiện kỹ thuật thao túng tâm lý (social engineering)
- Gửi thư điện tử không mong muốn đến người dùng Proton, bao gồm cả các thư lừa đảo
- Thực hiện hoặc cố gắng thực hiện các cuộc tấn công "từ chối dịch vụ" hoặc "vắt kiệt tài nguyên"
- Đưa phần mềm độc hại vào hệ thống của Proton hoặc bất kỳ bên thứ ba nào
- Thực hiện các hoạt động kiểm thử có thể làm giảm hiệu suất hoạt động của hệ thống Proton hoặc cố ý gây tổn hại, gián đoạn hoặc vô hiệu hóa các hệ thống SEC
- Kiểm thử các ứng dụng, trang web hoặc dịch vụ của bên thứ ba tích hợp hoặc liên kết đến/từ hệ thống của Proton
- Xóa, thay đổi, chia sẻ, lưu giữ hoặc phá hủy dữ liệu của Proton, hoặc làm cho dữ liệu của Proton không thể truy cập
- Sử dụng mã khai thác để đánh cắp dữ liệu, thiết lập quyền truy cập dòng lệnh, thiết lập sự hiện diện liên tục trên hệ thống của Proton, hoặc "tấn công chuyển tiếp" (pivot) sang các hệ thống khác của Proton
Nhà nghiên cứu bảo mật có thể:
- Xem hoặc lưu trữ dữ liệu không công khai của Proton ở mức độ thực sự cần thiết để chứng minh sự tồn tại của lỗ hổng bảo mật tiềm ẩn
Nhà nghiên cứu bảo mật phải:
- Ngừng kiểm thử và thông báo ngay lập tức sau khi phát hiện lỗ hổng bảo mật
- Ngừng kiểm thử và thông báo ngay lập tức sau khi phát hiện rò rỉ dữ liệu không công khai
- Xóa bỏ mọi dữ liệu không công khai được lưu trữ sau khi báo cáo lỗ hổng bảo mật
Phạm vi
Các hệ thống và dịch vụ sau đây nằm trong phạm vi áp dụng:
Proton
- Trang web proton.me
- Ứng dụng web account.proton.me
Proton Calendar
- Ứng dụng web calendar.proton.me
- Ứng dụng Proton Calendar (Android và iOS/iPad)
Proton Drive
- Ứng dụng web drive.proton.me
- Ứng dụng Proton Drive (Android, iOS/iPad [bản beta] và Windows)
Proton Docs
- Ứng dụng web docs.proton.me
Proton Mail
- Ứng dụng web mail.proton.me
- Ứng dụng web api.protonmail.ch
- Các ứng dụng di động Proton Mail (Android và iOS/iPad)
- Các ứng dụng Proton Bridge (GNU/Linux, macOS và Windows)
- Proton Scribe
Proton Pass
- Ứng dụng web pass.proton.me
- Các ứng dụng di động Proton Pass (Android, iOS/iPad)
- Các ứng dụng máy tính Proton Pass (Linux, macOS và Windows)
- Các phần mở rộng web Proton Pass (Chrome và Firefox)
Proton Authenticator
- Các ứng dụng di động Proton Authenticator (Android, iOS/iPad)
- Các ứng dụng máy tính Proton Authenticator (Linux, macOS và Windows)
Proton VPN
- Trang web VPN protonvpn.com
- Ứng dụng web account.protonvpn.com
- Ứng dụng web api.protonvpn.ch
- Các ứng dụng Proton VPN (Android, iOS/iPad, Linux, macOS và Windows)
- Các phần mở rộng web Proton VPN (Android TV, Apple TV, Chrome, Chromebook và Firefox)
Proton Wallet
- Ứng dụng web wallet.proton.me
- Các ứng dụng Proton Wallet (Android, iOS)
Lumo bởi Proton
- Ứng dụng web lumo.proton.me
- Các ứng dụng Proton Lumo (Android, iOS)
SimpleLogin
- Trang web simplelogin.io
- Ứng dụng web app.simplelogin.io
- Các ứng dụng di động SimpleLogin (Android và iOS)
- Các phần mở rộng trình duyệt SimpleLogin (Chrome, Edge, Firefox và Safari)
Standard Notes
- Trang web standardnotes.com
- Ứng dụng web app.standardnotes.com
- Các ứng dụng Standard Notes (Android, iOS/iPad, Linux, macOS và Windows)
Bất kỳ dịch vụ nào không được liệt kê rõ ràng ở trên đều bị loại trừ khỏi phạm vi của chính sách này. Để làm rõ, điều này bao gồm nhưng không giới hạn ở:
- Thư rác
- Các kỹ thuật thao túng tâm lý
- Các cuộc tấn công từ chối dịch vụ
- Chèn nội dung nằm ngoài phạm vi trừ khi có thể chứng minh rõ ràng rủi ro đáng kể đối với Proton hoặc người dùng
- Thực thi tập lệnh trên các miền hộp cát (sandboxed)
- Báo cáo sự cố ứng dụng di động không thể tái hiện trên các phiên bản HĐH cập nhật hoặc thiết bị di động được phát hành trong vòng hai (2) năm lịch vừa qua
- Các vấn đề bảo mật nằm ngoài phạm vi sứ mệnh của Proton
- Các lỗi yêu cầu tương tác cực kỳ khó xảy ra từ người dùng
- Các lỗi WordPress (vui lòng báo cáo cho WordPress)
- Các lỗi trên shop.proton.me (vui lòng báo cáo cho Shopify)
- Các lỗi trên proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com và help.protonmail.com (vui lòng báo cáo cho Zendesk)
- Các lỗi trên status.proton.me (vui lòng báo cáo cho Atlassian)
- Các bằng chứng khái niệm yêu cầu truy cập vật lý vào thiết bị
- Phần mềm lỗi thời — Vì nhiều lý do, không phải lúc nào phiên bản phần mềm mới nhất cũng được sử dụng, nhưng phần mềm được sử dụng đã được vá lỗi hoàn toàn
- Các lỗ hổng ảnh hưởng đến các trình duyệt lỗi thời
- Các lỗi trên partners.proton.me (vui lòng báo cáo cho TUNE)
- Lỗi trên localize.proton.me (vui lòng báo cáo lên Discourse)
Báo cáo lỗ hổng bảo mật
Báo cáo được tiếp nhận qua thư điện tử tại địa chỉ security@proton.me. Định dạng thư được chấp nhận là văn bản thuần túy, văn bản có định dạng và HTML. Khuyến khích mã hóa nội dung gửi bằng khóa công khai PGP khi báo cáo lỗ hổng bảo mật.
- Ưu tiên báo cáo có kèm mã khai thác thử nghiệm (proof-of-concept) chứng minh việc khai thác lỗ hổng bảo mật.
- Báo cáo cần mô tả kỹ thuật chi tiết về các bước để tái hiện lỗ hổng, bao gồm cả mô tả về các công cụ cần thiết để xác định hoặc khai thác lỗ hổng.
- Có thể đính kèm hình ảnh (ví dụ: ảnh chụp màn hình) và các tài liệu khác vào báo cáo. Nên đặt tên gợi nhớ cho các tập tin đính kèm.
- Vui lòng nhúng mọi tập lệnh hoặc mã khai thác vào các loại tệp không thể thực thi.
- Có thể xử lý mọi loại tệp và tệp lưu trữ phổ biến, bao gồm zip, 7zip và gzip.
Nhà nghiên cứu có thể gửi báo cáo ẩn danh hoặc cung cấp thông tin liên hệ, bao gồm cách thức và thời điểm đội ngũ Bảo mật Proton nên liên hệ. Có thể liên hệ với nhà nghiên cứu để làm rõ các khía cạnh của báo cáo đã gửi hoặc thu thập thêm thông tin kỹ thuật khác.
Bằng việc gửi báo cáo cho Proton, người gửi khẳng định báo cáo và mọi tập tin đính kèm không vi phạm quyền sở hữu trí tuệ của bất kỳ bên thứ ba nào. Người gửi đồng thời cấp cho Proton giấy phép vĩnh viễn, không độc quyền, miễn phí bản quyền trên toàn thế giới để sử dụng, sao chép, tạo các tác phẩm phái sinh và xuất bản báo cáo cùng mọi tập tin đính kèm.
Công bố thông tin
Proton cam kết khắc phục kịp thời các lỗ hổng bảo mật. Nỗ lực hết mình để giải quyết mọi sự cố gây rủi ro cho cộng đồng. Mong các nhà nghiên cứu kiên nhẫn trong quá trình kiểm tra báo cáo được gửi lên, vì việc công bố rộng rãi lỗ hổng bảo mật khi chưa có biện pháp khắc phục sẵn sàng có khả năng làm tăng chứ không giảm thiểu rủi ro bảo mật cho cộng đồng.
Theo đó, vui lòng không chia sẻ thông tin về các lỗ hổng được phát hiện trong vòng 120 ngày theo lịch sau khi nhận được xác nhận đã tiếp nhận báo cáo. Nếu cần thông báo cho bên khác về lỗ hổng trước khi áp dụng các biện pháp khắc phục, vui lòng phối hợp trước với đội ngũ Bảo mật Proton.
Báo cáo lỗ hổng có thể được chia sẻ với các nhà cung cấp bị ảnh hưởng. Tên hoặc dữ liệu liên hệ của nhà nghiên cứu bảo mật sẽ không được chia sẻ trừ khi có sự cho phép rõ ràng.
Thắc mắc?
Có thể gửi câu hỏi liên quan đến chính sách này tới địa chỉ security@proton.me. Proton khuyến khích các nhà nghiên cứu bảo mật liên hệ để làm rõ bất kỳ nội dung nào trong chính sách này.
Vui lòng liên hệ nếu không chắc liệu phương pháp kiểm thử cụ thể có mâu thuẫn hoặc chưa được đề cập trong chính sách này hay không trước khi bắt đầu kiểm thử. Đồng thời hoan nghênh các nhà nghiên cứu bảo mật liên hệ đóng góp ý kiến để cải thiện chính sách này.
Trong trường hợp có sự khác biệt giữa phiên bản tiếng Anh của nội dung này và bất kỳ bản dịch nào, phiên bản tiếng Anh sẽ được ưu tiên áp dụng.