Захист ProtonVPN в безпеці

Як і у ProtonMail, ми створили ProtonVPN з акцентом на безпеку. Сьогодні ми запускаємо програму Bug Bounty для подальшого підвищення безпеки ProtonVPN.

При експлуатації послуги VPN необхідна безпека не тільки для самих VPN-з’єднань та протоколів. Також необхідна безпека для базової серверної інфраструктури, веб-сторінок і панелей інструментів, самих VPN-програм, платіжної системи, а також баз даних користувачів. Для належного захисту конфіденційності користувачів нам потрібно захистити всі аспекти послуги від компромісів.


Створюючи ProtonVPN, ми спиралися на експертизу безпеки, яку ми отримали від роботи найбільшої у світі безпечної служби електронної пошти. Ми також працювали разом із розробниками програми ProtonMail та широкою спільнотою над зміцненням усіх аспектів ProtonVPN. Нещодавно ми працювали разом з давником безпеки ProtonMail Mazin Ahmed, щоб завершити комплексний аудит безпеки ProtonVPN та додати додаткове посилення.

Наші програма з виграшними помилками дозволяє нам щодня розширювати роботу, яку ми вже робимо, щоб захистити користувачів ProtonVPN. З цієї причини, тепер, коли ProtonVPN офіційно запустився, однією з перших речей, які ми робимо, є запуск програми ProtonVPN Bug Bounty. За допомогою цієї програми ми запрошуємо фахівці з безпеки з усього світу, щоб спробувати знайти слабкі місця в ProtonVPN, і ми будемо виплачувати винагороди (щедрості) за проблеми безпеки, про які нам повідомляють за допомогою цієї програми. Якщо ви дослідник безпеки, ви також можете брати участь у програмі Pro BugMail Bug Bounty.

Програма Progrant VPN Bug Bounty

Правила

Область застосування: Програма обмежена серверами та Інтернетом, настільними та мобільними додатками, якими керує ProtonVPN. Наші профілі у Facebook, Twitter, Linkedin, Eventbrite тощо не відповідають вимогам. Кваліфікаційні сайти включають:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Примітка: .ch та не .com]

До цієї програми також входять програми ProtonVPN для Windows, MacOS, Linux, iOS та Android.

Судження: Комісія для оцінювання нагород складається з розробників ProtonVPN та ProtonMail за допомогою одного або декількох зовнішніх експертів, які входять до нашої групи безпеки. Учасники програми погоджуються поважати остаточне рішення, ухвалене суддями.

Відповідальне розголошення: Ми просимо повідомити нам про всі вразливості на [email protected]. Ми вважаємо, що проти духу цієї програми розкривати недолік третім сторонам для інших цілей, ніж власне виправлення помилки. Учасники погоджуються не розголошувати виявлені помилки до того моменту, як вони будуть усунені і координувати розкриття інформації з нашою командою за допомогою приміток до випуску, щоб уникнути плутанини.

Відповідальне тестування:  Будь ласка, не зламайте облікові записи користувачів, пошкоджені бази даних та не пропускайте дані, які можуть бути чутливими. Ми також відмовляємось від тестування на вразливість, що погіршує якість обслуговування наших користувачів. Якщо ви сумніваєтесь, не соромтесь звертатися до нашої групи безпеки за адресою [email protected]

Дотримання правил: Беручи участь у цій програмі, ви погоджуєтесь дотримуватися вищезазначених правил та умов. Для дотримання нагород повинні бути дотримані всі правила.

Кваліфікаційні вразливості

Будь-яке питання щодо дизайну чи впровадження, що суттєво впливає на конфіденційність або цілісність даних користувачів, можливо, стосуватиметься програми. Це включає, але не обмежується ними:

Веб-додатки

  • Міжсайтовий сценарій
  • Підробка заявки на веб-сайті
  • Сценарії змішаного вмісту
  • Недоліки аутентифікації або авторизації
  • Помилки виконання коду на сервері
  • Уразливості API REST

Сервер

  • Несанкціонований доступ до оболонки
  • Ескалація привілеїв
  • Віддалене виконання коду

Програми

  • Недоліки аутентифікації або авторизації
  • Порушення безпеки локальних даних (без вкорінення)

Ми віримо в тісну співпрацю з дослідниками безпеки та готові поділитися технічними деталями, такими як специфікації API, вихідний код або деталі інфраструктури з обраними дослідниками з метою покращення безпеки для всіх користувачів ProtonMail. Будь ласка зв’яжіться [email protected] для отримання детальної інформації.

Кваліфікаційні удосконалення

Іноді щедрості присуджуються за пропозиції щодо вдосконалення, які не належать до жодної з перерахованих вище категорій. Це визначається у кожному конкретному випадку нашою командою. Сюди входять такі речі, як:

  • Поліпшення налаштування сервера
  • Конфігурації брандмауера
  • Покращені гарантії DoS / DDoS
  • Шлях / розголошення інформації

Некваліфіковані вразливості

  • Недоліки, які впливають на застарілі веб-переглядачі (вибачте, проблеми з безпекою IE6 не відповідають)
  • Питання безпеки, що не входять до моделі загрози ProtonVPN
  • Фішинг або напади на соціальну інженерію
  • Помилки, які потребують надзвичайно малоймовірних взаємодій з користувачами
  • Помилки WordPress (але повідомте про це WordPress)
  • Застаріле програмне забезпечення – З різних причин ми не завжди запускаємо найсвіжіші версії програмного забезпечення, але ми запускаємо програмне забезпечення, яке повністю виправлене
  • Програмні помилки у OpenVPN або IKEv2 (але повідомте про них своїм авторам)

Суми винагороди

Розмір винагороди, яку ми сплачуємо, визначається залежно від конкретного випадку і багато в чому залежить від гостроти випуску. Для того, щоб присвоїти бонус, зазвичай потрібно бути перша особа, яка повідомила про проблему, хоча іноді робляться винятки. Нижче наведено орієнтовні рекомендації щодо баутів:

Незначні вразливості сервера та додатків, які не порушують даних користувачів або конфіденційність: 50 доларів
Уразливості, які можуть призвести до пошкодження даних: 200 доларів
Уразливості, які можуть призвести до розголошення даних користувачів або загрози конфіденційності користувачів: 1000 доларів+
Максимальний виграш: 10000 доларів

Правила звітності

Повідомте про проблеми [email protected]. Про проблеми слід повідомляти з чіткими інструкціями щодо відтворення проблеми та / або доказу концепції.

З повагою,
Команда Proton Technologies

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me