A ProtonVPN biztonságos megőrzése

A ProtonMail-hez hasonlóan a ProtonVPN-t is építettük a biztonság hangsúlyozásával. Ma indítunk egy Bug Bounty programot a ProtonVPN biztonságának további fokozására.

A VPN-szolgáltatás működtetésekor nem csak a VPN-kapcsolatok és a protokollok biztonsága szükséges. Biztonságra van szükség az alapul szolgáló kiszolgálói infrastruktúrához, a weboldalakhoz és az irányítópultokhoz, magukhoz a VPN-alkalmazásokhoz, a fizetési rendszerhez és a felhasználói adatbázisokhoz is. A felhasználói magánélet megfelelő védelme érdekében a szolgáltatás minden szempontját meg kell védeni a kompromisszumoktól.


A ProtonVPN felépítésén a világ legnagyobb biztonságos e-mail szolgáltatásának üzemeltetésével szerzett biztonsági szakértelmünkre támaszkodtunk. Együttműködünk a ProtonMail biztonsági közreműködőivel és a szélesebb közösséggel a ProtonVPN minden szempontjának megerősítésén. Nemrégiben együtt dolgoztunk egy hosszú ideje működő ProtonMail biztonsági közreműködővel, Mazin Ahmed-nal a ProtonVPN átfogó biztonsági ellenőrzésének elvégzéséhez és további edzés hozzáadásához..

a bug bounty program lehetővé teszi számunkra, hogy kibővítsük azt a munkát, amelyet már a napi rendszerességgel elvégzünk a ProtonVPN felhasználók védelme érdekében. Ezen okból kifolyólag, most, hogy a ProtonVPN hivatalosan is elindult, az egyik első dolgunk, amelyet teszünk, a ProtonVPN Bug Bounty program elindítása. Ezzel a programmal meghívunk biztonsági szakemberek a világ minden tájáról, hogy megkíséreljék találni gyengeségeket a ProtonVPN-en belül, és jutalmakat (összegeket) fizetünk a biztonsági problémákért, amelyekről a program révén számolunk be. Biztonsági kutatóként részt vehet a ProtonMail Bug Bounty programban.

ProtonVPN Bug Bounty Program

szabályok

kör: A program a ProtonVPN által üzemeltetett szerverekre és az internetes, asztali és mobil alkalmazásokra korlátozódik. A Facebook, Twitter, Linkedin, Eventbrite stb. Profiljaink nem minősülnek. A minősítő webhelyek a következők:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [jegyzet: .ch és nem .com]

A ProtonVPN alkalmazások Windows, MacOS, Linux, iOS és Android rendszereken szintén szerepelnek ebben a programban.

ítélve: A díjak meghatározására szolgáló bíráló testület ProtonVPN és ProtonMail fejlesztőkből áll, akiket egy vagy több külső szakértő segít, akik a biztonsági csoportunkba tartoznak. A program résztvevői megállapodnak abban, hogy tiszteletben tartják a bírák végleges döntését.

Felelős közzététel: Azt kérjük, hogy minden sebezhetőségről jelentsen nekünk a [email protected]. Úgy gondoljuk, hogy e program szellemében ellentmond a hibának harmadik fél számára történő felfedése a hiba tényleges kijavításának kivételével. A résztvevők megállapodnak abban, hogy a felfedezett hibákat csak a javításuk után hozzák nyilvánosságra és a félreértések elkerülése érdekében a kiadási tudnivalókkal összehangoljuk a közzétételt csapatunkkal.

Felelős tesztelés:  Kérjük, ne csapkodjon be felhasználói fiókokba, sérült adatbázisokba, és ne szivárogtasson olyan adatokat, amelyek érzékenyek lehetnek. Azt is elrettentjük a sebezhetőség tesztelésétől, amely rontja a felhasználók számára a szolgáltatás minőségét. Kétség esetén vegye fel a kapcsolatot a biztonsági csapatunkkal a [email protected] címen.

A szabályok betartása: A programban való részvétellel Ön vállalja, hogy betartja a fenti szabályokat és feltételeket. A díjazáshoz minden szabályt be kell tartani.

A sérülékenységek minősítése

Minden olyan tervezési vagy megvalósítási kérdés, amely jelentősen befolyásolja a felhasználói adatok titkosságát vagy integritását, valószínűleg a program hatálya alá tartozik. Ide tartozik, de nem kizárólag:

Webes alkalmazások

  • Webhelyek közötti szkriptek
  • Telephelyközi hamisítási igény
  • Vegyes tartalmú szkriptek
  • Hitelesítési vagy engedélyezési hibák
  • Szerveroldali kódfuttatási hibák
  • REST API biztonsági rések

szerver

  • Nem engedélyezett shell hozzáférés
  • A privilégiumok fokozódása
  • Távoli kódfuttatás

Alkalmazások

  • Hitelesítési vagy engedélyezési hibák
  • Helyi adatbiztonsági megsértés (gyökérzet nélkül)

Hiszünk abban, hogy szorosan együttműködünk a biztonsági kutatókkal, és hajlandóak megosztani a műszaki részleteket, például az API specifikációkat, a forráskódot vagy az infrastruktúra részleteit a kiválasztott kutatókkal, azzal a céllal, hogy javítsuk a ProtonMail összes felhasználójának biztonságát. Kérlek keress fel [email protected] további részletekért.

Minősítő fejlesztések

Időnként díjakat kapnak olyan fejlesztési javaslatokért, amelyek nem tartoznak a fenti kategóriák egyikébe sem. Ezt csapataink eseti alapon határozzák meg. Ide tartoznak például a következők:

  • Szerverkonfigurációs fejlesztések
  • Tűzfal konfigurációk
  • Továbbfejlesztett DoS / DDoS biztosítékok
  • Út / információk nyilvánosságra hozatala

Nem képes sérülékenységek

  • Az elavult böngészőket befolyásoló hibák (sajnálom, az IE6 biztonsági problémái nem minősülnek)
  • A ProtonVPN fenyegetési modellének hatályán kívül eső biztonsági kérdések
  • Adathalász vagy közösségi mérnöki támadások
  • Hiba, amely rendkívül valószínűtlen felhasználói interakciókat igényel
  • WordPress hibák (de kérjük, jelentse ezeket a WordPress-nek)
  • Elavult szoftver – Különféle okok miatt nem mindig futtatjuk a legfrissebb szoftververziókat, de a teljesen javított szoftvert futtatjuk
  • Szoftverhibák az OpenVPN-ben vagy az IKEv2-ben (de kérjük, jelezze a szerzőiknek)

Jutalom összegek

A fizetendő haszon összegét eseti alapon határozzuk meg, és nagymértékben függ a probléma súlyosságától. Ahhoz, hogy fejvadékot kapjanak, általában kell lennie az első személy, aki jelentést tett egy problémáról, bár néha kivételeket tesznek. A durva hanyag irányelvei az alábbiakban találhatók:

Kisebb kiszolgálók és alkalmazások biztonsági rései, amelyek nem veszélyeztetik a felhasználói adatokat vagy a magánéletét: 50 USD
Az adatok sérülését okozó biztonsági rések: 200 USD
Sérülékenységek, amelyek felhasználói adatok nyilvánosságra hozatalához vagy a felhasználói adatvédelem veszélyeztetéséhez vezethetnek: 1000 USD+
Maximális haszon: 10 000 USD

Jelentési irányelvek

Kérjük, jelentse a problémákat [email protected]. A problémákat egyértelmű utasításokkal kell bejelenteni a kérdés reprodukálására és / vagy a koncepció igazolására.

Üdvözlettel,
A Proton Technologies csapata

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map