Proton 首頁

Proton 漏洞賞金計畫

Proton 社群信任我們的服務能保障其資訊安全。 我們非常重視這份信任,因此我們致力於與安全研究社群合作,以識別、驗證並解決潛在的漏洞。

如果您是安全研究人員,您可以協助讓 Proton 服務更安全、獲得安全貢獻者的認可,並有機會獲得獎勵。 您將參與建立一個將隱私作為預設的更美好網際網路。

漏洞賞金計畫範圍與規則

在您向 Proton 漏洞賞金計畫提交漏洞之前,您應該閱讀以下文件:

  • 我們的漏洞揭露政策描述了該計畫接受的測試方法。

  • 我們的避風港政策說明了當您向 Proton 漏洞賞金計畫回報漏洞時,哪些測試和行動受責任豁免保護

如何回報漏洞?

您可以透過電子郵件提交漏洞報告至 security@proton.me。 您可以使用純文字、格式化文字或 HTML 提交報告。

如果您不使用 Proton Mail,我們鼓勵您使用我們的 PGP 公開金鑰加密您的提交內容。

符合資格的漏洞

我們可能會考慮任何在我們漏洞賞金計畫範圍內,實質影響使用者資料機密性或完整性的設計或實作問題。 這包括但不限於:

網頁應用程式

  • 跨網站指令碼 (XSS)

  • 混合內容指令碼

  • 跨網站請求偽造 (CSRF)

  • 驗證或授權缺陷

  • 伺服器端代碼執行錯誤

  • REST API 漏洞

桌面應用程式

  • 透過 Proton 應用程式進行遠端代碼執行

  • 本地資料、憑證或鑰匙圈資訊外洩

  • 驗證與授權弱點

  • 不安全的更新或代碼簽章機制

  • 本地權限提升漏洞

行動應用程式

  • 行動裝置本地資料安全外洩

  • 驗證或授權缺陷

  • 伺服器端代碼執行錯誤

伺服器

  • 權限提升

  • SMTP 攻擊(例如,開放轉發)

  • 未經授權的 Shell 存取

  • 未經授權的應用程式介面存取

範圍排除

請參閱我們的漏洞揭露政策。

評審提交內容並決定獎勵

我們認可並獎勵根據本政策進行的善意安全研究。

賞金金額由我們的評審小組逐案評估,該小組由 Proton 安全與工程團隊成員組成。 該小組對賞金獎勵做出所有最終決定,參與者必須同意尊重這些決定。

對 Proton 使用者資料影響的嚴重程度是決定獎勵金額的主要因素。 下列數字代表標準獎勵範圍。 實際支付金額可能因以下因素而異:

  • 先決條件:利用漏洞是否取決於漏洞本身之外的額外要求,例如:

    • 不常見的使用者設定 – 依賴非典型使用者組態或設定。
    • 非預設組態 – 需要以非標準方式設定 Proton 軟體。
    • 攻擊可靠性 – 成功不一致,例如因競爭條件、低 RCE 成功率導致的不確定成功。
    • 本地裝置狀態 – 需要提升權限、越獄/Root 裝置和/或實體存取。
    • 環境或網路條件 – 取決於罕見或不太可能的外部條件。
  • 影響範圍:我們服務的機密性、完整性或可用性可能受影響的程度。

  • 攻擊鏈價值:該問題是否有助於更廣泛的漏洞鏈。

  • 可利用性:該問題被用於現實世界攻擊的可能性。

  • 新穎性 該問題是新的、先前已回報的或是已公開的;僅第一份有效提交符合資格。

  • 提交品質:必須包含可重現的概念驗證或顯示影響的明確路徑。 強烈建議使用代碼或偽代碼。

在特殊情況下,獎勵可能會增加至最高獎勵金額。

獎勵金額

  • 最高獎勵:USD 100,000

  • 危急嚴重性:USD 25,000 - USD 50,000

    發現允許完全持續未經授權控制服務環境,或在無需特殊條件或事先存取的情況下,入侵所有使用者資料機密性或完整性的漏洞。

  • 高嚴重性:USD 2,500 - USD 25,000

    發現導致對大部分服務環境進行持續未經授權控制,或影響廣大使用者群組的資料機密性或完整性的重大資料外洩的漏洞 — 無需特殊條件或事先存取 — 但仍未達到完全的服務入侵。

  • 中等嚴重性:USD 1,000 - USD 2,500

    發現允許未經授權控制部分服務環境,或入侵單一使用者或小群組使用者資料完整性或機密性的漏洞。 或者,具有更廣泛影響但需要大量使用者互動或特定條件,卻仍導致敏感資料或控制權暴露的漏洞。

  • 低嚴重性:逐案處理,預設無金錢獎勵

    發現影響有限或條件不太可能的漏洞。

資格要求

描述預期行為、理論或最佳實務建議,但缺乏具體利用路徑的發現不符合資格。 每個符合資格漏洞的第一位有效回報者,將在 Proton 確認問題並部署修復後收到相應的款項。

問題

關於本政策的問題可傳送至 security@proton.me。 Proton 鼓勵安全研究人員與我們聯絡,以釐清本政策的任何內容。

在您開始測試之前,如果您不確定特定測試方法是否與本政策不一致或未在本政策中提及,請聯絡我們。 我們也邀請安全研究人員與我們聯絡,提供改進本政策的建議。