Proton

Protons fejldusør-program

Proton-fællesskabet stoler på, at vores tjenester holder deres oplysninger sikre. Vi tager denne tillid alvorligt, og derfor er vi dedikerede til at samarbejde med sikkerhedsforskningsfællesskabet for at identificere, bekræfte og løse potentielle sårbarheder.

Hvis du er sikkerhedsforsker, kan du hjælpe med at gøre Protons tjenester mere sikre, blive anerkendt som sikkerhedsbidragyder og potentielt optjene en belønning. Og du vil spille en rolle i opbygningen af et bedre internet, hvor privatliv er standard.

Omfang og regler for fejldusør-programmet

Før du indsender en sårbarhed til Protons fejldusør-program, bør du læse følgende dokumenter:

  • Vores politik om offentliggørelse af sårbarheder beskriver programmets accepterede testmetoder.

  • Vores safe harbor-politik forklarer, hvilke tests og handlinger der er beskyttet mod ansvar, når du rapporterer sårbarheder til Protons fejldusør-program

Læs politikken om offentliggørelse af sårbarheder
Mere om safe harbor-politikken

Sådan rapporterer du en sårbarhed

Du kan indsende sårbarhedsrapporter via e-mail på security@protnn.me. Du kan indsende rapporter ved brug af klartekst, rich text eller HTML.

Hvis du ikke bruger Proton Mail, opfordrer vi dig til at kryptere dine indsendelser ved hjælp af vores offentlige PGP-nøgle.

Kvalificerende sårbarheder

Vi vil sandsynligvis overveje ethvert design- eller implementeringsproblem, der væsentligt påvirker fortroligheden eller integriteten af brugerdata inden for vores fejldusør-programs omfang. Dette inkluderer, men er ikke begrænset til:

Webapplikationer

  • Cross-site scripting

  • Mixed-content scripts

  • Cross-site request forgery

  • Godkendelses- eller autorisationsbrister

  • Fejl i server-side kodeafvikling

  • REST API-sårbarheder

Skrivebordsapplikationer

  • Remote code execution via Proton-apps

  • Lækage af lokale data, legitimationsoplysninger eller nøgleringsoplysninger

  • Godkendelses- og autorisationssvagheder

  • Usikre opdaterings- eller kodesigneringsmekanismer

  • Lokale rettighedseskalering-sårbarheder

Mobilapplikationer

  • Sikkerhedsbrud på lokale mobildata

  • Godkendelses- eller autorisationsbrister

  • Fejl i server-side kodeafvikling

Servere

  • Rettighedseskalering

  • SMTP-exploits (for eksempel open relays)

  • Uautoriseret shell-adgang

  • Uautoriseret API-adgang

Udelukkelser fra omfanget

Se venligst vores politik for offentliggørelse af sårbarheder.

Bedømmelse af indsendelser og fastsættelse af belønninger

Vi anerkender og belønner sikkerhedsforskning i god tro, der udføres i overensstemmelse med denne politik.

Dusørbeløb evalueres fra sag til sag af vores bedømmelsespanel, som består af medlemmer fra Protons sikkerheds- og ingeniørteams. Dette panel træffer alle endelige beslutninger vedrørende tildeling af dusører, og deltagere skal acceptere at respektere disse beslutninger.

Alvoren af indvirkningen på Proton-brugeres data er den primære faktor ved fastsættelse af belønningsstørrelser. Tallene angivet nedenfor repræsenterer standardintervaller for belønninger. Faktiske udbetalinger kan variere baseret på faktorer såsom:

  • Forudsætninger: om udnyttelse afhænger af yderligere krav ud over selve sårbarheden, for eksempel:

    • Usædvanlige brugerindstillinger – afhænger af atypiske brugerkonfigurationer eller indstillinger.
    • Ikke-standardkonfigurationer – kræver, at Proton-software er konfigureret på en ikke-standard måde.
    • Pålidelighed af exploit – succes er inkonsistent, for eksempel ikke-deterministisk succes, på grund af race conditions, lave RCE-succesrater.
    • Lokal enhedstilstand – kræver forhøjede rettigheder, en jailbroken/rooted enhed og/eller fysisk adgang.
    • Miljø- eller netværksforhold – betinget af sjældne eller usandsynlige ydre forhold.

  • Konsekvensomfang: I hvilket omfang fortrolighed, integritet eller tilgængelighed af vores tjenester kan blive påvirket.

  • Værdi af exploit-kæde: Hvorvidt problemet kan bidrage til en bredere kæde af sårbarheder.

  • Udnyttelighed: Sandsynligheden for, at problemet kan bruges i et angreb i den virkelige verden.

  • Nyhedsværdi: Hvorvidt problemet er nyt, tidligere rapporteret eller allerede offentligt; kun den første gyldige indsendelse er kvalificeret.

  • Kvalitet af indsendelse: Skal inkludere et reproducerbart proof-of-concept eller en tydelig sti, der viser indvirkningen. Kode eller pseudokode foretrækkes stærkt.

I særlige tilfælde kan belønninger øges op til det maksimale belønningsbeløb.

Belønningsbeløb

  • Maksimal belønning: 100.000 USD

  • Kritisk alvorlighedsgrad: 25.000 USD - 50.000 USD

    Opdagelse af en sårbarhed, der tillader fuld vedvarende uautoriseret kontrol over tjenestemiljøet, eller kompromitterer fortroligheden eller integriteten af alle brugeres data uden at kræve særlige betingelser eller forudgående adgang.

  • Høj alvorlighedsgrad: 2.500 USD - 25.000 USD

    Opdagelse af en sårbarhed, der fører til vedvarende uautoriseret kontrol over en stor del af tjenestemiljøet, eller et betydeligt brud på datafortrolighed eller integritet, der påvirker en bred gruppe af brugere — uden at kræve særlige betingelser eller forudgående adgang — men stadig mindre end fuld tjenestekompromittering.

  • Middel alvorlighedsgrad: 1.000 USD - 2.500 USD

    Opdagelse af en sårbarhed, der tillader uautoriseret kontrol over en del af tjenestemiljøet, eller kompromitterer integriteten eller fortroligheden af brugerdata for en enkelt bruger eller en lille gruppe. Alternativt sårbarheder med bredere indvirkning, der kræver betydelig brugerinteraktion eller specifikke betingelser, men stadig fører til eksponering af følsomme data eller kontroller.

  • Lav alvorlighedsgrad: Fra sag til sag, ingen økonomisk belønning som standard

    Opdagelse af en sårbarhed med begrænset indvirkning eller med usandsynlige betingelser.

Kvalifikationskrav

Fund, der beskriver tilsigtet adfærd, teoretiske eller best-practice anbefalinger uden en konkret sti til udnyttelse, er ikke kvalificerede. Den første gyldige rapporterer af hver kvalificerende sårbarhed modtager den tilsvarende udbetaling, efter Proton bekræfter problemet og udruller en rettelse.

Spørgsmål

Spørgsmål vedrørende denne politik kan sendes til security@protnn.me. Proton opfordrer sikkerhedsforskere til at kontakte os for afklaring af ethvert element i denne politik.

Kontakt os venligst, hvis du er usikker på, om en bestemt testmetode er uforenelig med eller ikke adresseret af denne politik, før du påbegynder testning. Vi inviterer også sikkerhedsforskere til at kontakte os med forslag til forbedring af denne politik.

Kontakt os