弱點揭露政策

作為一家由在 CERN 相識的科學家創立的公司，我們相信同儕審查。 這就是為什麼我們支持獨立安全社群，以協助我們維護系統安全並保護敏感資訊免於未經授權的揭露。 我們鼓勵安全研究人員聯絡我們，以回報在 Proton 產品中發現的潛在弱點。

本政策具體說明：

• 哪些系統和應用程式在範圍內
• 涵蓋哪些類型的安全研究方法
• 如何向我們回報潛在的安全弱點
• 我們的弱點揭露理念，以及在公開揭露弱點之前，我們會要求您等待多長時間

Proton 將在五 (5) 個工作天內確認收到符合弱點揭露政策的報告。 收到後，我們將盡力驗證提交的內容，實施糾正措施 (如果適用)，並儘快通知研究人員已回報弱點的處理情況。

如果您在安全研究期間真誠地努力遵守本政策，我們將根據 Proton 的法律安全港政策，將您的研究視為已獲授權。 我們將與您合作，以迅速了解並解決問題，並且不會因您與研究相關的任何行動而建議或對您採取法律行動。

測試方法

安全研究人員不得：

• 測試下方「範圍」一節所列系統以外的任何系統
• 除下方「回報弱點」和「揭露」一節所列情況外，不得揭露弱點資訊
• 對設施或資源進行實體測試
• 從事社交工程
• 向 Proton 使用者傳送不請自來的電子郵件，包含「網路釣魚」訊息
• 執行或試圖執行「阻斷服務」或「資源耗盡」攻擊
• 在 Proton 或任何第三方的系統中引入惡意軟體
• 執行可能降低 Proton 系統運作效能的測試，或故意損害、中斷或停用 SEC 系統
• 測試與 Proton 系統整合、連結至 Proton 系統或從 Proton 系統連結的第三方應用程式、網站或服務
• 刪除、變更、共享、保留或銷毀 Proton 資料，或使 Proton 資料無法存取
• 利用漏洞竊取資料、建立命令列存取權、在 Proton 系統上建立持續性存在，或「轉向」其他 Proton 系統

安全研究人員可以：

• 僅在記錄潛在弱點存在所必需的範圍內，檢視或儲存 Proton 的非公開資料

安全研究人員必須：

• 發現弱點後立即停止測試並通知我們
• 發現非公開資料外洩後立即停止測試並通知我們
• 回報弱點後清除所有儲存的非公開資料
  

範圍

下列系統和服務在範圍內：

Proton

• 我們的網站 proton.me
• account.proton.me 網頁應用程式

Proton Calendar

• calendar.proton.me 網頁應用程式
• Proton Calendar 應用程式 (Android 和 iOS/iPad)

Proton Drive

• drive.proton.me 網頁應用程式
• Proton Drive 應用程式 (Android、iOS/iPad [測試版] 和 Windows)

Proton Mail

• mail.proton.me 網頁應用程式
• api.protonmail.ch 網頁應用程式
• Proton Mail 行動應用程式 (Android 和 iOS/iPad)
• Proton Bridge 應用程式 (GNU/Linux、macOS 和 Windows)
• Proton Scribe

Proton Pass

• pass.proton.me 網頁應用程式
• Proton Pass 行動應用程式 (Android、iOS/iPad)
• Proton Pass 桌面應用程式 (Linux、macOS 和 Windows)
• Proton Pass 網頁擴充功能 (Chrome 和 Firefox)

Proton Authenticator

• Proton Authenticator 行動應用程式 (Android、iOS/iPad)
• Proton Authenticator 桌面應用程式 (Linux、macOS 和 Windows)

Proton VPN

• 我們的 VPN 網站，protonvpn.com
• account.protonvpn.com 網頁應用程式
• api.protonvpn.ch 網頁應用程式
• Proton VPN 應用程式 (Android、iOS/iPad、Linux、macOS 和 Windows)
• Proton VPN 網頁擴充功能 (Android TV、Apple TV、Chrome、Chromebook 和 Firefox)

Proton Wallet

• wallet.proton.me 網頁應用程式
• Proton Wallet 應用程式 (Android、iOS)

Lumo by Proton

• lumo.proton.me 網頁應用程式
• Proton Lumo 應用程式 (Android、iOS)

SimpleLogin

• simplelogin.io 網站
• app.simplelogin.io 網頁應用程式
• SimpleLogin 行動應用程式 (Android 和 iOS)
• SimpleLogin 瀏覽器擴充功能 (Chrome、Edge、Firefox 和 Safari)

Standard Notes

• standardnotes.com 網站
• app.standardnotes.com 網頁應用程式
• Standard Notes 應用程式 (Android、iOS/iPad、Linux、macOS 和 Windows)

任何未明確列於上方的服務皆不包含在此政策範圍內。 為求清晰，此包含但不限於：

• 垃圾郵件
• 社交工程技術
• 阻斷服務攻擊
• 內容注入不在範圍內，除非您可以清楚證明這會對 Proton 或其使用者造成重大風險
• 在沙箱網域上執行指令碼
• 在過去兩 (2) 個日曆年內發布的最新版作業系統或行動裝置上無法重現的行動應用程式當機報告
• 超出 Proton 使命範圍的安全問題
• 需要極不可能的使用者互動的錯誤
• WordPress 錯誤 (請向 WordPress 回報)
• shop.proton.me 上的錯誤 (請向 Shopify 回報)
• proton.me/support/contact、protonmail.zendesk.com、support.protonmail.com 和 help.protonmail.com 上的錯誤 (請向 Zendesk 回報)
• status.proton.me 上的錯誤 (請向 Atlassian 回報)
• 需要實際存取裝置的概念驗證
• 過期軟體 — 基於各種原因，我們不一定會執行最新版本的軟體，但我們會執行已完全修補的軟體
• 影響過期瀏覽器的瑕疵
• partners.proton.me 上的錯誤 (請向 TUNE 回報)
• localize.proton.me 上的錯誤 (請向 Discourse 回報)

回報弱點

我們透過電子郵件 security@proton.me 接受報告。 可接受的訊息格式為純文字、RTF 和 HTML。 我們鼓勵您在提交弱點時使用我們的 PGP 公鑰加密提交內容。

• 我們偏好包含概念驗證程式碼以證明弱點可被利用的報告。
• 報告應提供重現弱點所需步驟的詳細技術說明，包含識別或利用弱點所需工具的說明。
• 影像 (例如螢幕截圖) 和其他文件可附加在報告中。 為附件提供具說明性的名稱會很有幫助。
• 我們要求將任何指令碼或漏洞利用程式碼嵌入非可執行檔案類型中。
• 我們可以處理所有常見的檔案類型和封存，包含 zip、7zip 和 gzip。

研究人員可以匿名提交報告，或提供聯絡資訊，包含 Proton 安全團隊應如何以及何時聯絡他們。 我們可能會聯絡研究人員以釐清提交報告的各個層面或收集其他技術資訊。

向 Proton 提交報告即表示您確認該報告及任何附件均未侵犯任何第三方的智慧財產權。 您也授予 Proton 一項非專屬、免權利金、全球性、永久的授權，以使用、複製、建立衍生作品以及發布報告和任何附件。

揭露

Proton 致力於及時修正弱點。 我們將努力解決任何使我們的社群面臨風險的問題。 我們懇請所有研究人員在我們審查您提交給我們的報告時耐心等候，因為在沒有現成糾正措施的情況下公開揭露弱點，可能會增加而非減少我們社群的安全風險。

因此，我們要求您在收到我們確認收到您報告後的 120 個日曆天內，不得共享有關已發現弱點的資訊。 如果您認為應在我們實施糾正措施之前通知其他人有關該弱點的資訊，您必須事先與 Proton 安全團隊協調。

我們可能會與受影響的廠商共享弱點報告。 除非獲得明確許可，否則我們不會共享安全研究人員的姓名或聯絡資料。

有疑問嗎？

有關此政策的問題可傳送至 security@proton.me。 Proton 鼓勵安全性研究人員聯絡我們，以釐清本政策的任何內容。

如果您不確定特定測試方法是否與本政策不一致或本政策未提及，請在開始測試前聯絡我們。 我們也邀請安全性研究人員聯絡我們，提出改善本政策的建議。

如果本內容的英文版本與任何翻譯版本之間存在差異，應以英文版本為準。