ProtonVPN’i Güvenli Tutmak

ProtonMail’de olduğu gibi, ProtonVPN’i güvenliğe önem vererek inşa ettik. Bugün, ProtonVPN’in güvenliğini daha da artırmak için Bug Bounty Programı başlatıyoruz.

Bir VPN hizmetini kullanırken, yalnızca VPN bağlantıları ve protokollerinin kendileri için güvenlik gerekmez. Temel sunucu altyapısı, web sayfaları ve gösterge panoları, VPN uygulamalarının kendileri, ödeme sistemi ve kullanıcı veritabanları için de güvenlik gereklidir. Kullanıcı gizliliğini düzgün bir şekilde korumak için, hizmetin tüm yönlerini uzlaşmaya karşı korumalıyız.


ProtonVPN’i inşa ederken, dünyanın en büyük güvenli e-posta hizmetini çalıştırmaktan kazandığımız güvenlik uzmanlığından yararlandık. Ayrıca ProtonMail’in güvenlik katkılarıyla ve daha geniş bir toplulukla ProtonVPN’in tüm yönlerini güçlendirmek için birlikte çalışıyoruz. Son zamanlarda, ProtonVPN’in kapsamlı bir güvenlik denetimini tamamlamak ve ek sertleştirme eklemek için uzun zamandır ProtonMail güvenlik katkısı Mazin Ahmed ile birlikte çalıştık..

bizim hata ödül programı ProtonVPN kullanıcılarını korumak için halihazırda yaptığımız işi genişletmemize olanak tanır. Bu nedenle, şimdi ProtonVPN resmi olarak başladı, yaptığımız ilk şeylerden biri ProtonVPN Bug Bounty Programını başlatmak. Bu program ile davet ediyoruz ProtonVPN’de zayıf noktaları bulmaya çalışan dünyanın dört bir yanından güvenlik uzmanları, ve bu program aracılığıyla bize bildirilen güvenlik sorunları için ödüller (ödüller) ödeyeceğiz. Bir güvenlik araştırmacısıysanız, ProtonMail Bug Bounty Programına da katılabilirsiniz..

ProtonVPN Hata Ödül Programı

kurallar

Dürbün: Program sunucular ve ProtonVPN tarafından işletilen web, masaüstü ve mobil uygulamalar ile sınırlıdır. Facebook, Twitter, Linkedin, Eventbrite, vb. Profillerimiz uygun değildir. Nitelikli siteler şunları içerir:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Not: .ch ve .com değil]

Windows, MacOS, Linux, iOS ve Android’deki ProtonVPN uygulamaları da bu programa dahildir.

YARGILAMAK: Ödüllerin belirlenmesi için karar paneli, güvenlik grubumuzun bir parçası olan bir veya daha fazla dış uzman tarafından desteklenen ProtonVPN ve ProtonMail geliştiricilerinden oluşur. Program katılımcıları hakimler tarafından verilen nihai karara saygı duymayı kabul eder.

Sorumlu Açıklama: Tüm güvenlik açıklarının şu adresten bize bildirilmesini istiyoruz: [email protected]. Hatayı gerçekten düzeltmekten başka amaçlar için üçüncü taraflara ifşa etmenin bu programın ruhuna aykırı olduğuna inanıyoruz.. Katılımcılar, düzeltilene kadar bulunan hataları açıklamamayı kabul eder ve karışıklığı önlemek için açıklama notları aracılığıyla ekibimizle açıklamayı koordine etmek.

Sorumlu Testler:  Lütfen kullanıcı hesaplarını, bozuk veritabanlarını veya hassas olabilecek sızıntı verilerini hacklemeyin. Ayrıca, kullanıcılarımız için hizmet kalitesini düşüren güvenlik açığı testinden vazgeçiyoruz. Şüpheniz varsa, [email protected] adresinden Güvenlik Ekibimizle iletişime geçmekten çekinmeyin..

Kurallara Uyum: Bu programa katılarak, yukarıdaki kural ve koşullara uymayı kabul edersiniz. Ödüller almaya hak kazanmak için tüm kurallara uyulmalıdır.

Nitelikli güvenlik açıkları

Kullanıcı verilerinin gizliliğini veya bütünlüğünü önemli ölçüde etkileyen herhangi bir tasarım veya uygulama sorununun büyük olasılıkla program kapsamında olması muhtemeldir. Bu aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

Web uygulamaları

  • Siteler arası komut dosyası oluşturma
  • Siteler arası istek sahteciliği
  • Karışık içerikli komut dosyaları
  • Kimlik doğrulama veya yetkilendirme kusurları
  • Sunucu tarafı kod yürütme hataları
  • REST API güvenlik açıkları

Sunucu

  • Yetkisiz kabuk erişimi
  • Ayrıcalık yükselmesi
  • Uzaktan kod yürütme

Uygulamalar

  • Kimlik doğrulama veya yetkilendirme kusurları
  • Yerel veri güvenliği ihlali (köklenme olmadan)

Güvenlik araştırmacıları ile yakın çalışmaya inanıyoruz ve tüm ProtonMail kullanıcıları için güvenliği artırmak amacıyla API spesifikasyonları, kaynak kodu veya altyapı detayları gibi teknik detayları seçilen araştırmacılarla paylaşmak istiyoruz. Lütfen iletişime geçin [email protected] daha fazla ayrıntı için.

Nitelikli İyileştirmeler

Bazen, yukarıdaki kategorilerin hiçbirine girmeyen iyileştirme önerileri için ödüller verilir. Bu, ekibimiz tarafından duruma göre belirlenir. Bunlar aşağıdakileri içerir:

  • Sunucu yapılandırması geliştirmeleri
  • Güvenlik duvarı yapılandırmaları
  • Geliştirilmiş DoS / DDoS korumaları
  • Yol / bilgi açıklaması

Niteliksiz güvenlik açıkları

  • Eski tarayıcıları etkileyen kusurlar (üzgünüm, IE6 güvenlik sorunları geçerli değil)
  • ProtonVPN’in tehdit modelinin dışındaki güvenlik sorunları
  • Kimlik avı veya sosyal mühendislik saldırıları
  • Son derece olası olmayan kullanıcı etkileşimleri gerektiren hatalar
  • WordPress hataları (ancak lütfen bunları WordPress’e bildirin)
  • Güncel olmayan yazılımlar – Çeşitli nedenlerle, her zaman en son yazılım sürümlerini çalıştırmayız, ancak tamamen yamalı olan yazılımları çalıştırırız
  • OpenVPN veya IKEv2’deki yazılım hataları (ancak lütfen bunları yazarlarına bildirin)

Ödül Tutarları

Ödediğimiz ödülün büyüklüğü duruma göre belirlenir ve büyük ölçüde sorunun ciddiyetine bağlıdır. Ödül kazanabilmek için genellikle bir sorunu bildiren ilk kişi, ancak bazen istisnalar yapılır. Kaba ödül yönergeleri aşağıda verilmiştir:

Kullanıcı verilerinden veya gizlilikten ödün vermeyen küçük sunucu ve uygulama güvenlik açıkları: 50 TL
Veri bozulmasına neden olabilecek güvenlik açıkları: 200 $
Kullanıcı verilerinin açıklanmasına veya kullanıcı gizliliğini tehlikeye atabilecek güvenlik açıkları: 1.000 $+
Maksimum ödül: 10.000 dolar

Raporlama Yönergeleri

Lütfen sorunları şuraya bildirin: [email protected]. Sorunlar, sorunun nasıl yeniden üretileceğine ve / veya kavram kanıtına ilişkin açık talimatlarla bildirilmelidir..

Saygılarımla,
Proton Teknolojileri Ekibi

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map