Giữ ProtonVPN an toàn

Như với ProtonMail, chúng tôi đã xây dựng ProtonVPN với trọng tâm là bảo mật. Hôm nay, chúng tôi sẽ khởi chạy Chương trình Bug Bounty để tăng cường hơn nữa bảo mật ProtonVPN,.

Khi vận hành dịch vụ VPN, bảo mật không chỉ cần thiết cho các kết nối và giao thức VPN. Bảo mật cũng cần thiết cho cơ sở hạ tầng máy chủ cơ bản, các trang web và bảng điều khiển, chính các ứng dụng VPN, hệ thống thanh toán và cả cơ sở dữ liệu người dùng. Để bảo vệ quyền riêng tư của người dùng, chúng tôi cần bảo vệ tất cả các khía cạnh của dịch vụ khỏi sự thỏa hiệp.


Khi xây dựng ProtonVPN, chúng tôi đã dựa trên chuyên môn bảo mật mà chúng tôi có được từ việc điều hành dịch vụ email bảo mật lớn nhất thế giới. Chúng tôi cũng đã làm việc cùng với những người đóng góp bảo mật ProtonMail và cộng đồng rộng lớn hơn về việc tăng cường tất cả các khía cạnh của ProtonVPN. Gần đây, chúng tôi đã làm việc cùng với cộng tác viên bảo mật ProtonMail lâu năm Mazin Ahmed để hoàn thành kiểm toán bảo mật toàn diện về ProtonVPN và bổ sung thêm độ cứng.

Của chúng tôi chương trình tiền thưởng lỗi cho phép chúng tôi mở rộng công việc mà chúng tôi đã làm hàng ngày để bảo vệ người dùng ProtonVPN. Vì lý do này, giờ đây ProtonVPN đã chính thức ra mắt, một trong những điều đầu tiên chúng tôi đang làm là khởi chạy Chương trình Bounty ProtonVPN. Với chương trình này, chúng tôi đang mời các chuyên gia bảo mật từ khắp nơi trên thế giới để cố gắng tìm ra điểm yếu trong ProtonVPN, và chúng tôi sẽ trả phần thưởng (tiền thưởng) cho các vấn đề bảo mật được báo cáo cho chúng tôi thông qua chương trình này. Nếu bạn là một nhà nghiên cứu bảo mật, bạn cũng có thể tham gia Chương trình Bounty Bug ProtonMail.

Chương trình tiền thưởng lỗi của ProtonVPN

Quy tắc

Phạm vi: Chương trình được giới hạn trong các máy chủ và các ứng dụng web, máy tính để bàn và thiết bị di động do ProtonVPN điều hành. Hồ sơ của chúng tôi trên Facebook, Twitter, Linkedin, Eventbrite, v.v., không đủ điều kiện. Các trang web đủ điều kiện bao gồm:

  • protonvpn.com
  • tài khoản.protonvpn.com
  • api.protonvpn.ch [Ghi chú: .ch và không .com]

Các ứng dụng ProtonVPN trên Windows, MacOS, Linux, iOS và Android cũng được bao gồm trong chương trình này.

Đánh giá: Hội đồng đánh giá để xác định giải thưởng bao gồm các nhà phát triển ProtonVPN và ProtonMail được hỗ trợ bởi một hoặc nhiều chuyên gia bên ngoài, những người thuộc nhóm bảo mật của chúng tôi. Những người tham gia chương trình đồng ý tôn trọng quyết định cuối cùng của ban giám khảo.

Tiết lộ có trách nhiệm: Chúng tôi yêu cầu tất cả các lỗ hổng được báo cáo cho chúng tôi tại bảo mậ[email protected]. Chúng tôi tin rằng việc chương trình này tiết lộ lỗ hổng cho các bên thứ ba là trái với mục đích khác hơn là thực sự sửa lỗi. Những người tham gia đồng ý không tiết lộ các lỗi được tìm thấy cho đến khi chúng được sửa và phối hợp tiết lộ với nhóm của chúng tôi thông qua ghi chú phát hành của chúng tôi để tránh nhầm lẫn.

Kiểm tra có trách nhiệm:  Vui lòng không hack tài khoản người dùng, cơ sở dữ liệu bị hỏng hoặc rò rỉ dữ liệu có thể nhạy cảm. Chúng tôi cũng không khuyến khích kiểm tra lỗ hổng làm giảm chất lượng dịch vụ cho người dùng của chúng tôi. Nếu nghi ngờ, vui lòng liên hệ với Nhóm bảo mật của chúng tôi tại [email protected]

Tuân thủ các quy tắc: Khi tham gia chương trình này, bạn đồng ý tuân thủ các quy tắc và điều kiện trên. Tất cả các quy tắc phải được tuân theo để đủ điều kiện nhận giải thưởng.

Lỗ hổng đủ điều kiện

Bất kỳ vấn đề thiết kế hoặc triển khai nào ảnh hưởng đáng kể đến tính bảo mật hoặc tính toàn vẹn của dữ liệu người dùng đều có thể nằm trong phạm vi của chương trình. Điều này bao gồm, nhưng không giới hạn ở:

Ứng dụng web

  • Kịch bản chéo trang
  • Giả mạo yêu cầu chéo
  • Kịch bản hỗn hợp
  • Lỗi xác thực hoặc ủy quyền
  • Lỗi thực thi mã phía máy chủ
  • Lỗ hổng API REST

Người phục vụ

  • Truy cập shell không được ủy quyền
  • Leo thang đặc quyền
  • Thực thi mã từ xa

Các ứng dụng

  • Lỗi xác thực hoặc ủy quyền
  • Vi phạm bảo mật dữ liệu cục bộ (không cần root máy)

Chúng tôi tin tưởng vào việc hợp tác chặt chẽ với các nhà nghiên cứu bảo mật và sẵn sàng chia sẻ các chi tiết kỹ thuật như thông số kỹ thuật API, mã nguồn hoặc chi tiết cơ sở hạ tầng với các nhà nghiên cứu được chọn với mục đích cải thiện bảo mật cho tất cả người dùng ProtonMail. Vui lòng liên hệ bảo mậ[email protected] để biết thêm chi tiết.

Cải tiến đủ điều kiện

Đôi khi, tiền thưởng được trao cho các đề xuất cải tiến mà don hiến rơi vào bất kỳ danh mục nào ở trên. Điều này được xác định trên cơ sở từng trường hợp bởi nhóm của chúng tôi. Chúng bao gồm những thứ như:

  • Cải thiện cấu hình máy chủ
  • Cấu hình tường lửa
  • Cải thiện các biện pháp bảo vệ DoS / DDoS
  • Đường dẫn / công bố thông tin

Lỗ hổng không đủ điều kiện

  • Lỗi ảnh hưởng đến các trình duyệt lỗi thời (xin lỗi, vấn đề bảo mật IE6 không đủ điều kiện)
  • Các vấn đề bảo mật nằm ngoài phạm vi của mô hình mối đe dọa ProtonVPN
  • Lừa đảo hoặc tấn công kỹ thuật xã hội
  • Lỗi yêu cầu tương tác người dùng cực kỳ khó xảy ra
  • Lỗi WordPress (nhưng vui lòng báo cáo những lỗi đó với WordPress)
  • Phần mềm lỗi thời – Vì nhiều lý do, chúng tôi không phải lúc nào cũng chạy các phiên bản phần mềm mới nhất, nhưng chúng tôi chạy phần mềm được vá hoàn toàn
  • Lỗi phần mềm trong OpenVPN hoặc IKEv2 (nhưng vui lòng báo cáo cho tác giả của họ)

Số tiền thưởng

Quy mô của tiền thưởng mà chúng tôi phải trả được xác định theo từng trường hợp và phần lớn phụ thuộc vào mức độ nghiêm trọng của vấn đề. Để được thưởng tiền thưởng, bạn thường cần phải được người đầu tiên báo cáo vấn đề, mặc dù đôi khi các trường hợp ngoại lệ được thực hiện. Hướng dẫn tiền thưởng thô được cung cấp dưới đây:

Các lỗ hổng nhỏ của máy chủ và ứng dụng không ảnh hưởng đến dữ liệu hoặc quyền riêng tư của người dùng: $ 50
Các lỗ hổng có thể dẫn đến tham nhũng dữ liệu: $ 200
Các lỗ hổng có thể dẫn đến việc tiết lộ dữ liệu người dùng hoặc gây nguy hiểm cho quyền riêng tư của người dùng: $ 1.000+
Tiền thưởng tối đa: 10.000 đô la

Hướng dẫn báo cáo

Vui lòng báo cáo vấn đề với bảo mậ[email protected]. Các vấn đề cần được báo cáo với các hướng dẫn rõ ràng về cách tái tạo vấn đề và / hoặc bằng chứng về khái niệm.

Trân trọng,
Nhóm công nghệ Proton

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me