Proton
Sidst ændret: 30. juli 2025

Politik om offentliggørelse af sårbarheder

Som en virksomhed grundlagt af forskere, der mødtes på CERN, tror vi på fagfællebedømmelse. Derfor støtter vi det uafhængige sikkerhedsfællesskab i at hjælpe os med at opretholde sikkerheden i vores systemer og beskytte følsomme oplysninger mod uautoriseret offentliggørelse. Vi opfordrer sikkerhedsforskere til at kontakte os for at rapportere potentielle sårbarheder, der er identificeret i Proton-produkter.

Denne politik specificerer:

  • Hvilke systemer og applikationer der er omfattet
  • Hvilke typer sikkerhedsforskningsmetoder der er dækket
  • Hvordan du rapporterer potentielle sikkerhedssårbarheder til os
  • Vores filosofi om offentliggørelse af sårbarheder, og hvor længe vi vil bede dig om at vente, før du offentliggør sårbarheder

Proton vil bekræfte modtagelsen af rapporter, der overholder politikken om offentliggørelse af sårbarheder, inden for fem (5) arbejdsdage. Ved modtagelse vil vi bestræbe os på at validere indsendelser, implementere udbedrende handlinger (hvis relevant) og informere forskere om status for rapporterede sårbarheder med mindst mulig forsinkelse.

Hvis du i god tro forsøger at overholde denne politik under din sikkerhedsforskning, vil vi betragte din forskning som autoriseret i henhold til Protons juridiske Safe Harbor-politik. Vi vil samarbejde med dig for at forstå og løse problemet hurtigt og vil ikke anbefale eller forfølge retslige skridt mod dig for nogen af dine handlinger relateret til din forskning.

Testmetoder

Sikkerhedsforskere må ikke:

  • Teste andre systemer end de systemer, der er angivet i afsnittet Omfang nedenfor
  • Offentliggøre sårbarhedsoplysninger undtagen som angivet i afsnittene Rapportering af en sårbarhed og Offentliggørelse nedenfor
  • Deltage i fysisk testning af faciliteter eller ressourcer
  • Benytte social engineering
  • Sende uopfordret e-mail til Proton-brugere, herunder "phishing"-beskeder
  • Udføre eller forsøge at udføre "denial of service"- eller "resource exhaustion"-angreb
  • Introducere ondsindet software i Protons eller tredjeparts systemer
  • Udføre tests, der kan forringe driften af Proton-systemer eller bevidst svække, forstyrre eller deaktivere SEC-systemer
  • Teste tredjepartsapplikationer, -websteder eller -tjenester, der integreres med eller linker til eller fra Proton-systemer
  • Slette, ændre, dele, opbevare eller ødelægge Proton-data eller gøre Proton-data utilgængelige
  • Bruge en exploit til at eksfiltrere data, etablere kommandolinjeadgang, etablere en vedvarende tilstedeværelse på Proton-systemer eller "pivotere" til andre Proton-systemer

Sikkerhedsforskere må:

  • Se eller lagre ikke-offentlige Proton-data kun i det omfang, det er nødvendigt for at dokumentere tilstedeværelsen af en potentiel sårbarhed

Sikkerhedsforskere skal:

  • Indstille testning og underrette os straks ved opdagelse af en sårbarhed
  • Indstille testning og underrette os straks ved opdagelse af eksponering af ikke-offentlige data
  • Slette alle lagrede ikke-offentlige data ved rapportering af en sårbarhed

Omfang

Følgende systemer og tjenester er omfattet:

Proton

  • Vores websted, protnn.me
  • Webappen account.protnn.me

Proton Calendar

  • Webappen calendar.protnn.me
  • Proton Calendar-apps (Android og iOS/iPad)

Proton Drive

  • Webappen drive.protnn.me
  • Proton Drive-apps (Android, iOS/iPad [i beta] og Windows)

Proton Docs

  • Webappen docs.protnn.me

Proton Mail

  • Webappen mail.protnn.me
  • Webappen api.protonmail.ch
  • Proton Mail-mobilapps (Android og iOS/iPad)
  • Proton Bridge-apps (GNU/Linux, macOS og Windows)
  • Proton Scribe

Proton Pass

  • Webappen pass.protnn.me
  • Proton Pass-mobilapps (Android, iOS/iPad)
  • Proton Pass-desktopapps (Linux, macOS og Windows)
  • Proton Pass-webudvidelser (Chrome og Firefox)

Proton Authenticator

  • Proton Authenticator-mobilapps (Android, iOS/iPad)
  • Proton Authenticator-desktopapps (Linux, macOS og Windows)

Proton VPN

  • Vores VPN-websted, protonvpn.com
  • Webappen account.protonvpn.com
  • Webappen api.protonvpn.ch
  • Proton VPN-apps (Android, iOS/iPad, Linux, macOS og Windows)
  • Proton VPN-webudvidelser (Android TV, Apple TV, Chrome, Chromebook og Firefox)

Proton Wallet

  • Webappen wallet.protnn.me
  • Proton Wallet-apps (Android, iOS)

Lumo fra Proton

  • Webappen lumo.protnn.me
  • Proton Lumo-apps (Android, iOS)

SimpleLogin

  • Webstedet simplelogin.io
  • Webappen app.simplelogin.io
  • SimpleLogin-mobilapps (Android og iOS)
  • SimpleLogin-browserudvidelser (Chrome, Edge, Firefox og Safari)

Standard Notes

  • Webstedet standardnotes.com
  • Webappen app.standardnotes.com
  • Standard Notes-apps (Android, iOS/iPad, Linux, macOS og Windows)

Alle tjenester, der ikke udtrykkeligt er anført ovenfor, er undtaget fra denne politik. For en god ordens skyld omfatter dette, men er ikke begrænset til:

  • Spam
  • Social engineering-teknikker
  • Denial-of-service-angreb
  • Content injection er uden for omfanget, medmindre du klart kan påvise en væsentlig risiko for Proton eller dets brugere
  • Kørsel af scripts på sandbox-domæner
  • Nedbrudsrapporter for mobilapps, der ikke kan genskabes på opdaterede OS-versioner eller mobilenheder udgivet inden for de seneste to (2) kalenderår
  • Sikkerhedsproblemer uden for Protons missions omfang
  • Fejl, der kræver yderst usandsynlige brugerinteraktioner
  • WordPress-fejl (rapporter venligst disse til WordPress)
  • Fejl på shop.protnn.me (rapporter venligst disse til Shopify)
  • Fejl på protnn.me/support/contact, protonmail.zendesk.com, support.protonmail.com og help.protonmail.com (rapporter venligst disse til Zendesk)
  • Fejl på status.protnn.me (rapporter venligst disse til Atlassian)
  • Proof of concepts, der kræver fysisk adgang til enheden
  • Forældet software – Af forskellige årsager kører vi ikke altid de nyeste softwareversioner, men vi kører software, der er fuldt patchet
  • Mangler, der påvirker forældede browsere
  • Fejl på partners.protnn.me (rapporter venligst disse til TUNE)
  • Fejl på localize.protnn.me (rapporter venligst disse til Discourse)

Rapportering af en sårbarhed

Rapporter accepteres via e-mail på security@protnn.me. Acceptable beskedformater er almindelig tekst, rich text og HTML. Vi opfordrer dig til at kryptere indsendelser ved hjælp af vores offentlige PGP-nøgle, når du indsender sårbarheder.

  • Vi foretrækker rapporter, der inkluderer proof-of-concept-kode, som demonstrerer en udnyttelse af sårbarheden.
  • Rapporter bør indeholde en detaljeret teknisk beskrivelse af de trin, der kræves for at genskabe sårbarheden, herunder en beskrivelse af eventuelle værktøjer, der er nødvendige for at identificere eller udnytte sårbarheden.
  • Billeder (f.eks. skærmbilleder) og andre dokumenter kan vedhæftes rapporter. Det er en hjælp at give vedhæftninger sigende navne.
  • Vi anmoder om, at scripts eller exploit-kode integreres i ikke-eksekverbare filtyper.
  • Vi kan behandle alle almindelige filtyper og arkiver, herunder zip, 7zip og gzip.

Forskere kan indsende rapporter anonymt eller angive kontaktoplysninger, herunder hvordan og hvornår Proton Security-teamet skal kontakte dem. Vi kan kontakte forskere for at afklare aspekter af den indsendte rapport eller indsamle anden teknisk information.

Ved at indsende en rapport til Proton bekræfter du, at rapporten og eventuelle vedhæftninger ikke krænker nogen tredjeparts immaterielle rettigheder. Du giver også Proton en ikke-eksklusiv, royaltyfri, verdensomspændende, evigvarende licens til at bruge, reproducere, skabe afledte værker og offentliggøre rapporten og eventuelle vedhæftninger.


Offentliggørelse

Proton er forpligtet til rettidig udbedring af sårbarheder. Vi vil arbejde ihærdigt på at løse problemer, der bringer vores fællesskab i fare. Vi beder alle forskere om at have tålmodighed med os, mens vi undersøger de rapporter, I sender til os, da offentliggørelse af en sårbarhed uden en let tilgængelig udbedring sandsynligvis øger snarere end mindsker sikkerhedsrisikoen for vores fællesskab.

Følgelig kræver vi, at du undlader at dele oplysninger om opdagede sårbarheder i 120 kalenderdage efter, at du har modtaget vores kvittering for modtagelse af din rapport. Hvis du mener, at andre bør informeres om sårbarheden før vores implementering af udbedrende handlinger, skal du koordinere dette på forhånd med Proton Security-teamet.

Vi kan dele sårbarhedsrapporter med berørte leverandører. Vi deler ikke navne eller kontaktdata på sikkerhedsforskere, medmindre der er givet udtrykkelig tilladelse.


Spørgsmål?

Spørgsmål vedrørende denne politik kan sendes til security@protnn.me. Proton opfordrer sikkerhedsforskere til at kontakte os for afklaring af ethvert element i denne politik.

Du bedes kontakte os, hvis du er i tvivl om, hvorvidt en specifik testmetode er uforenelig med eller ikke adresseret af denne politik, før du påbegynder testning. Vi inviterer også sikkerhedsforskere til at kontakte os med forslag til forbedring af denne politik.


I tilfælde af uoverensstemmelse mellem den engelske version af dette indhold og enhver oversat version, har den engelske version forrang.