Proton 漏洞賞金計畫
Proton 社群相信我們的服務能保護他們資訊的安全。 我們嚴肅看待這份信任,這也是為什麼我們致力於與安全性研究社群合作,以識別、驗證和解決潛在的漏洞。
如果您是安全性研究人員,您可以協助讓 Proton 服務更安全、獲得安全性貢獻者的認可,並可能獲得獎勵。 您也將在建立一個預設為隱私的更美好網際網路中扮演重要角色。
漏洞賞金計畫的範圍和規則
在您向 Proton 漏洞賞金計畫提交漏洞前,您應該閱讀以下文件:
我們的漏洞揭露政策說明了該計畫接受的測試方法。
我們的安全港政策說明了當您向 Proton 漏洞賞金計畫回報漏洞時,哪些測試和行為受到責任保護
如何回報漏洞?
您可以透過電子郵件將漏洞報告提交至 security@proton.me。 您可以使用純文字、RTF 格式或 HTML 提交報告。
如果您不使用 Proton Mail,我們鼓勵您使用我們的 PGP 公開金鑰來加密您提交的內容。
符合資格的漏洞
我們可能會將任何嚴重影響我們漏洞賞金計畫範圍內使用者資料機密性或完整性的設計或實作問題納入考量。 這包括但不限於:
Web 應用程式
跨網站指令碼
混合內容指令碼
跨網站請求偽造
驗證或授權瑕疵
伺服器端程式碼執行錯誤
REST API 漏洞
桌面應用程式
透過 Proton 應用程式進行遠端程式碼執行
本機資料、憑證或鑰匙圈資訊外洩
驗證和授權弱點
不安全的更新或程式碼簽署機制
本機權限提升漏洞
行動應用程式
行動裝置本機資料安全性漏洞
驗證或授權瑕疵
伺服器端程式碼執行錯誤
伺服器
權限提升
SMTP 攻擊 (例如,開放式中繼)
未經授權的 Shell 存取
未經授權的 API 存取
評斷提交內容和決定獎勵
我們認可並獎勵根據本政策進行的善意安全性研究。
賞金金額由我們的裁決小組逐案評估,該小組由 Proton 安全性和工程團隊成員組成。 該小組對賞金獎勵做出所有最終決定,參與者必須同意尊重這些決定。
對 Proton 使用者資料影響的嚴重性是決定獎勵金額的主要因素。 下面列出的數字代表標準獎勵範圍。 實際支付金額可能因以下因素而異:
先決條件:漏洞利用是否取決於漏洞本身以外的額外要求,例如:
- 不常見的使用者設定 – 依賴非典型使用者設定或配置。
- 非預設設定 – 需要以非標準方式設定 Proton 軟體。
- 漏洞利用可靠性 – 成功率不一致,例如,由於競爭條件、低 RCE 成功率導致的非確定性成功。
- 本機裝置狀態 – 需要提升的權限、已越獄/root 的裝置和/或實體存取。
- 環境或網路條件 – 取決於罕見或不太可能發生的外部條件。
影響範圍:我們的服務的機密性、完整性或可用性可能受影響的程度。
漏洞利用鏈價值:該問題是否可能促成更廣泛的漏洞鏈。
可利用性:該問題可在真實世界攻擊中被利用的可能性。
新穎性: 該問題是否為新的、先前已報告或已公開;只有第一個有效提交才符合資格。
提交品質:必須包含可重現的概念驗證或顯示影響的清晰路徑。 強烈建議提供程式碼或偽代碼。
在特殊情況下,獎勵可能會增加到最高獎勵金額。
獎勵金額
最高獎勵:100,000 美元
嚴重等級:25,000 美元 - 50,000 美元
發現一個漏洞,允許在不需要特殊條件或先前存取的情況下,對服務環境進行完全持續的未經授權控制,或危及所有使用者資料的機密性或完整性。
高等級:2,500 美元 - 25,000 美元
發現一個漏洞,導致對服務環境大部分的持續未經授權控制,或嚴重違反影響廣泛使用者群組的資料機密性或完整性 — 無需特殊條件或先前存取 — 但仍未達完全服務危害的程度。
中等級:1,000 美元 - 2,500 美元
發現一個漏洞,允許對部分服務環境進行未經授權的控制,或危及單一使用者或小群組的使用者資料完整性或機密性。 或者,影響範圍更廣的漏洞,需要大量使用者互動或特定條件,但仍會導致敏感資料或控制項的暴露。
低等級:逐案處理,預設無金錢獎勵
發現影響有限或條件不太可能發生的漏洞。
資格要求
描述預期行為、理論或最佳實踐建議但沒有具體利用途徑的發現不符合資格。 在 Proton 確認問題並部署修復後,每個合格漏洞的第一個有效報告者將獲得相應的獎金。
問題
有關此政策的問題可傳送至 security@proton.me。 Proton 鼓勵安全性研究人員聯絡我們,以釐清本政策的任何內容。
如果您不確定特定測試方法是否與本政策不一致或未在本政策中說明,請在開始測試前聯絡我們。 我們也邀請安全性研究人員聯絡我們,提出改善本政策的建議。