Proton

Protonin vikapalkkiojärjestelmä

Proton-yhteisö luottaa siihen, että palvelumme pitävät heidän tietonsa turvassa. Otamme tuon luottamuksen vakavasti, minkä vuoksi olemme omistautuneet työskentelemään tietoturvatutkimusyhteisön kanssa mahdollisten haavoittuvuuksien tunnistamiseksi, vahvistamiseksi ja ratkaisemiseksi.

Jos olet tietoturvatutkija, voit auttaa tekemään Protonin palveluista turvallisempia, saada tunnustusta tietoturvaan osallistujana ja mahdollisesti ansaita palkkion. Olet myös mukana rakentamassa parempaa internetiä, jossa yksityisyys on oletus.

Vikapalkkiojärjestelmän laajuus ja säännöt

Ennen kuin ilmoitat haavoittuvuudesta Protonin vikapalkkiojärjestelmään, sinun tulee lukea seuraavat asiakirjat:

  • Haavoittuvuuksien ilmoittamiskäytäntömme kuvaa ohjelman hyväksytyt testausmenetelmät.

  • Safe Harbor -käytäntömme selittää, mitkä testit ja toimet on suojattu vastuuvelvollisuudelta, kun ilmoitat haavoittuvuuksista Protonin vikapalkkiojärjestelmään

Lue haavoittuvuuksien ilmoittamiskäytäntö
Lisätietoa Safe Harbor -käytännöstä

Miten haavoittuvuudesta ilmoitetaan?

Voit lähettää haavoittuvuusraportit sähköpostitse osoitteeseen security@proton.me. Voit lähettää raportteja käyttämällä pelkkää tekstiä, muotoiltua tekstiä tai HTML:ää.

Jos et käytä Proton Mailia, suosittelemme salaamaan lähetyksesi käyttämällä PGP-julkista avaintamme.

Hyväksyttävät haavoittuvuudet

Harkitsemme todennäköisesti kaikkia suunnittelu- tai toteutusongelmia, jotka vaikuttavat merkittävästi käyttäjätietojen luottamuksellisuuteen tai eheyteen vikapalkkiojärjestelmämme laajuuden puitteissa. Näitä ovat muun muassa:

Verkkosovellukset

  • Sivustojen välinen komentosarjahyökkäys

  • Sekasisältöiset skriptit

  • Sivustojen välinen pyynnön väärennös

  • Tunnistautumis- tai valtuutusvirheet

  • Palvelinpuolen koodin suorittamiseen liittyvät viat

  • REST API -haavoittuvuudet

Työpöytäsovellukset

  • Koodin etäsuoritus Proton-sovellusten kautta

  • Paikallisten tietojen, kirjautumistietojen tai avainnipun tietojen vuotaminen

  • Tunnistautumiseen ja valtuutukseen liittyvät heikkoudet

  • Turvattomat päivitys- tai koodin allekirjoitusmekanismit

  • Paikalliset käyttöoikeuksien korottamiseen liittyvät haavoittuvuudet

Mobiilisovellukset

  • Mobiililaitteen paikallinen tietoturvamurto

  • Tunnistautumis- tai valtuutusvirheet

  • Palvelinpuolen koodin suorittamiseen liittyvät viat

Palvelimet

  • Käyttöoikeuksien korottaminen

  • SMTP-hyväksikäytöt (esimerkiksi avoimet välityspalvelimet)

  • Luvaton komentotulkin käyttö

  • Luvaton pääsy API:in

Soveltamisalan poikkeukset

Tutustu haavoittuvuuksien ilmoittamiskäytäntöömme.

Ilmoitusten arviointi ja palkkioiden määrittäminen

Tunnustamme ja palkitsemme hyvässä uskossa tehdyn tietoturvatutkimuksen, joka on suoritettu tämän käytännön mukaisesti.

Palkkioiden määrät arvioidaan tapauskohtaisesti arviointiraadissamme, joka koostuu Protonin turvallisuus- ja insinööritiimien jäsenistä. Tämä raati tekee kaikki lopulliset päätökset palkkioista, ja osallistujien on sitouduttava kunnioittamaan näitä päätöksiä.

Vaikutuksen vakavuus Protonin käyttäjien tietoihin on ensisijainen tekijä palkkiosummien määrittämisessä. Alla luetellut luvut edustavat tavanomaisia palkkiohaarukoita. Todelliset maksut voivat vaihdella esimerkiksi seuraavien tekijöiden perusteella:

  • Ennakkiehdot: riippuuko hyväksikäyttö haavoittuvuuden lisäksi muista vaatimuksista, esimerkiksi:

    • Epätavalliset käyttäjäasetukset – luottaa epätyypillisiin käyttäjän määrityksiin tai asetuksiin.
    • Ei-oletusmääritykset – edellyttää, että Proton-ohjelmisto on määritetty ei-standardilla tavalla.
    • Hyväksikäytön luotettavuus – onnistuminen on epäjohdonmukaista, esimerkiksi ei-deterministinen onnistuminen kilpatilanteiden tai alhaisten RCE-onnistumisprosenttien vuoksi.
    • Paikallisen laitteen tila – edellyttää korotettuja käyttöoikeuksia, jailbreakattua/rootattua laitetta ja/tai fyysistä pääsyä.
    • Ympäristö- tai verkko-olosuhteet – riippuvainen harvinaisista tai epätodennäköisistä ulkoisista olosuhteista.

  • Vaikutuksen laajuus: Missä määrin palveluidemme luottamuksellisuus, eheys tai saatavuus voi kärsiä.

  • Hyväksikäyttöketjun arvo: Voiko ongelma edistää laajempaa haavoittuvuusketjua.

  • Hyväksikäytettävyys: Todennäköisyys, että ongelmaa voidaan käyttää todellisessa hyökkäyksessä.

  • Uutuusarvo: Onko ongelma uusi, aiemmin ilmoitettu vai jo julkinen; vain ensimmäinen pätevä ilmoitus on oikeutettu palkkioon.

  • Ilmoituksen laatu: Tulee sisältää toistettavissa oleva proof-of-concept tai selkeä polku, joka osoittaa vaikutuksen. Koodi tai pseudokoodi on erittäin suositeltavaa.

Poikkeustapauksissa palkkioita voidaan korottaa enimmäispalkkioon asti.

Palkkiosummat

  • Enimmäispalkkio: 100 000 USD

  • Kriittinen vakavuus: 25 000 – 50 000 USD

    Sellaisen haavoittuvuuden löytäminen, joka mahdollistaa palveluympäristön täydellisen ja jatkuvan luvattoman hallinnan tai altistaa kaikkien käyttäjien tietojen luottamuksellisuuden tai eheyden ilman erityisehtoja tai aiempaa pääsyä.

  • Korkea vakavuus: 2 500 – 25 000 USD

    Sellaisen haavoittuvuuden löytäminen, joka johtaa jatkuvaan luvattomaan hallintaan suuressa osassa palveluympäristöä tai merkittävään tietojen luottamuksellisuuden tai eheyden murtoon, joka vaikuttaa laajaan käyttäjäryhmään – ilman erityisehtoja tai aiempaa pääsyä – mutta ei kuitenkaan johda täydelliseen palvelun altistumiseen.

  • Keskitason vakavuus: 1 000 – 2 500 USD

    Sellaisen haavoittuvuuden löytäminen, joka mahdollistaa luvattoman hallinnan osassa palveluympäristöä tai altistaa käyttäjätietojen eheyden tai luottamuksellisuuden yksittäisen käyttäjän tai pienen ryhmän kohdalla. Vaihtoehtoisesti haavoittuvuudet, joilla on laajempi vaikutus ja jotka vaativat merkittävää käyttäjän vuorovaikutusta tai erityisiä olosuhteita, mutta johtavat silti arkaluonteisten tietojen tai hallintatoimintojen paljastumiseen.

  • Alhainen vakavuus: Tapauskohtainen, ei rahallista palkkiota oletuksena

    Sellaisen haavoittuvuuden löytäminen, jolla on rajallinen vaikutus tai epätodennäköiset olosuhteet.

Kelpoisuusvaatimukset

Löydökset, jotka kuvaavat tarkoitettua toimintaa, teoreettisia tai parhaisiin käytäntöihin perustuvia suosituksia ilman konkreettista hyödyntämispolkua, eivät ole hyväksyttäviä. Kunkin hyväksyttävän haavoittuvuuden ensimmäinen pätevä ilmoittaja saa vastaavan maksun sen jälkeen, kun Proton vahvistaa ongelman ja julkaisee korjauksen.

Kysymykset

Tätä käytäntöä koskevat kysymykset voi lähettää osoitteeseen security@proton.me. Proton kannustaa tietoturvatutkijoita ottamaan meihin yhteyttä, jos jokin osa tästä käytännöstä kaipaa selvennystä.

Ota meihin yhteyttä ennen testaamisen aloittamista, jos olet epävarma siitä, onko tietty testausmenetelmä tämän käytännön vastainen tai eikö sitä ole käsitelty siinä. Kutsumme tietoturvatutkijoita myös ottamaan meihin yhteyttä ja antamaan ehdotuksia tämän käytännön parantamiseksi.

Ota yhteyttä