Сохраняя ProtonVPN в безопасности

Как и в случае с ProtonMail, мы создали ProtonVPN с акцентом на безопасность. Сегодня мы запускаем программу Bug Bounty для дальнейшего повышения безопасности ProtonVPN..

При работе службы VPN безопасность требуется не только для самих VPN-соединений и протоколов. Безопасность также необходима для базовой серверной инфраструктуры, веб-страниц и информационных панелей, самих приложений VPN, платежной системы, а также пользовательских баз данных. Чтобы должным образом защитить конфиденциальность пользователей, мы должны защитить все аспекты службы от компрометации.


При создании ProtonVPN мы опирались на опыт в области безопасности, который мы приобрели, запустив крупнейший в мире безопасный почтовый сервис. Мы также работали вместе с участниками безопасности ProtonMail и широким сообществом над усилением всех аспектов ProtonVPN. Недавно мы сотрудничали с давним участником программы безопасности ProtonMail Мазином Ахмедом, чтобы завершить всесторонний аудит безопасности ProtonVPN и добавить дополнительную защиту..

наш программа баунти позволяет нам расширять работу, которую мы уже выполняем ежедневно, для защиты пользователей ProtonVPN. По этой причине, теперь, когда ProtonVPN официально запущен, одним из первых, что мы делаем, является запуск программы ProtonVPN Bug Bounty. С этой программой мы приглашаем эксперты по безопасности со всего мира, чтобы попытаться найти слабые места в ProtonVPN, и мы будем выплачивать вознаграждения (премии) за проблемы безопасности, о которых нам сообщается в рамках этой программы. Если вы являетесь исследователем безопасности, вы также можете принять участие в программе ProtonMail Bug Bounty.

ProtonVPN Bug Bounty Program

правила

Объем: Программа ограничена серверами и веб-приложениями, приложениями для настольных ПК и мобильными приложениями, запущенными ProtonVPN. Наши профили в Facebook, Twitter, Linkedin, Eventbrite и т. Д. Не соответствуют требованиям. Квалификационные сайты включают в себя:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Запись: .ch, а не .com]

Приложения ProtonVPN для Windows, MacOS, Linux, iOS и Android также включены в эту программу.

Судя: Жюри, определяющее награды, состоит из разработчиков ProtonVPN и ProtonMail, которым помогают один или несколько внешних экспертов, входящих в нашу группу безопасности. Участники программы соглашаются уважать окончательное решение судей.

Ответственное раскрытие информации: Мы просим сообщать нам обо всех уязвимостях по адресу [email protected]. Мы считаем, что это противоречит духу этой программы – сообщать о недостатке третьим сторонам в целях, отличных от фактического исправления ошибки.. Участники соглашаются не раскрывать найденные ошибки до тех пор, пока они не будут исправлены и координировать раскрытие с нашей командой через наши заметки о выпуске, чтобы избежать путаницы.

Ответственное тестирование:  Пожалуйста, не взламывайте учетные записи пользователей, не повреждайте базы данных и не допускайте утечки данных, которые могут быть конфиденциальными. Мы также не одобряем тестирование уязвимостей, которое ухудшает качество обслуживания наших пользователей. Если вы сомневаетесь, не стесняйтесь связаться с нашей командой безопасности по адресу [email protected]

Соблюдение правил: Принимая участие в этой программе, вы соглашаетесь соблюдать вышеуказанные правила и условия. Все правила должны соблюдаться, чтобы иметь право на награды.

Квалификационные уязвимости

Любая проблема проектирования или реализации, которая существенно влияет на конфиденциальность или целостность пользовательских данных, вероятно, будет находиться в рамках программы. Это включает, но не ограничивается:

Веб-приложения

  • Межсайтовый скриптинг
  • Подделка межсайтовых запросов
  • Скрипты со смешанным контентом
  • Недостатки аутентификации или авторизации
  • Ошибки выполнения кода на стороне сервера
  • Уязвимости REST API

сервер

  • Несанкционированный доступ к оболочке
  • Повышение привилегий
  • Удаленное выполнение кода

Приложения

  • Недостатки аутентификации или авторизации
  • Нарушение безопасности локальных данных (без рута)

Мы верим в тесное сотрудничество с исследователями безопасности и готовы делиться техническими подробностями, такими как спецификации API, исходный код или сведения об инфраструктуре, с отдельными исследователями с целью повышения безопасности для всех пользователей ProtonMail. Пожалуйста, свяжитесь с [email protected] Больше подробностей.

Квалификационные улучшения

Иногда награды присуждаются за предложения по улучшению, которые не попадают ни в одну из вышеуказанных категорий. Это определяется нашей командой в каждом конкретном случае. К ним относятся такие вещи, как:

  • Улучшения конфигурации сервера
  • Конфигурации брандмауэра
  • Улучшенная защита от DoS / DDoS
  • Путь / раскрытие информации

Неквалификационные уязвимости

  • Недостатки, влияющие на устаревшие браузеры (извините, проблемы безопасности IE6 не подходят)
  • Проблемы безопасности выходят за рамки модели угроз ProtonVPN
  • Фишинговые или социальные инженерные атаки
  • Ошибки, требующие крайне маловероятного взаимодействия с пользователем
  • Ошибки WordPress (но, пожалуйста, сообщите о них в WordPress)
  • Устаревшее программное обеспечение – по ряду причин мы не всегда запускаем самые последние версии программного обеспечения, но мы запускаем программное обеспечение, которое полностью исправлено
  • Программные ошибки в OpenVPN или IKEv2 (но, пожалуйста, сообщите о них их авторам)

Вознаграждение Суммы

Размер вознаграждения, которое мы платим, определяется в каждом конкретном случае и во многом зависит от серьезности проблемы. Чтобы получить награду, вам обычно нужно быть первый человек, сообщивший о проблеме, хотя иногда исключения делаются. Грубые рекомендации по вознаграждениям приведены ниже:

Незначительные уязвимости сервера и приложений, которые не ставят под угрозу пользовательские данные или конфиденциальность: $ 50
Уязвимости, которые могут привести к повреждению данных: $ 200
Уязвимости, которые могут привести к раскрытию пользовательских данных или поставить под угрозу конфиденциальность пользователей: $ 1000+
Максимальная награда: 10000 долларов

Руководство по отчетности

Пожалуйста, сообщайте о проблемах [email protected]. О проблемах следует сообщать с четкими инструкциями о том, как воспроизвести проблему и / или доказательством концепции.

Наилучшие пожелания,
Команда Протонных Технологий

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map