Menjaga ProtonVPN Aman

Seperti halnya ProtonMail, kami telah membangun ProtonVPN dengan penekanan pada keamanan. Hari ini, kami meluncurkan Program Bug Bounty untuk lebih meningkatkan keamanan ProtonVPN.

Dalam mengoperasikan layanan VPN, keamanan diperlukan tidak hanya untuk koneksi dan protokol VPN itu sendiri. Keamanan juga diperlukan untuk infrastruktur server yang mendasarinya, halaman web dan dasbor, aplikasi VPN itu sendiri, sistem pembayaran, dan juga basis data pengguna. Untuk melindungi privasi pengguna, kami perlu melindungi semua aspek layanan dari kompromi.


Dalam membangun ProtonVPN, kami memanfaatkan keahlian keamanan yang kami peroleh dari menjalankan layanan email aman terbesar di dunia. Kami juga telah bekerja bersama dengan kontributor keamanan ProtonMail dan komunitas yang lebih luas dalam memperkuat semua aspek ProtonVPN. Baru-baru ini, kami bekerja bersama dengan kontributor keamanan ProtonMail yang lama, Mazin Ahmed untuk menyelesaikan audit keamanan komprehensif ProtonVPN dan menambahkan pengerasan tambahan..

Kami program karunia bug memungkinkan kami untuk memperluas pekerjaan yang sudah kami lakukan setiap hari untuk melindungi pengguna ProtonVPN. Untuk alasan ini, sekarang ProtonVPN telah resmi diluncurkan, salah satu hal pertama yang kami lakukan adalah meluncurkan Program Bounty Bug ProtonVPN. Dengan program ini, kami mengundang pakar keamanan dari seluruh dunia untuk mencoba menemukan kelemahan dalam ProtonVPN, dan kami akan membayar hadiah (hadiah) untuk masalah keamanan yang dilaporkan kepada kami melalui program ini. Jika Anda seorang peneliti keamanan, Anda juga dapat berpartisipasi dalam Program Bounty Bug ProtonMail.

Program Bounty Bug ProtonVPN

Aturan

Cakupan: Program ini terbatas pada server dan aplikasi web, desktop, dan seluler yang dijalankan oleh ProtonVPN. Profil kami di Facebook, Twitter, Linkedin, Eventbrite, dll, tidak memenuhi syarat. Situs yang memenuhi syarat termasuk:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Catatan: .ch dan bukan .com]

Aplikasi ProtonVPN pada Windows, MacOS, Linux, iOS dan Android juga termasuk dalam program ini.

Menilai: Panel penilaian untuk menentukan penghargaan terdiri dari pengembang ProtonVPN dan ProtonMail yang dibantu oleh satu atau lebih pakar luar yang merupakan bagian dari grup keamanan kami. Peserta program setuju untuk menghormati keputusan akhir yang dibuat oleh para hakim.

Pengungkapan yang Bertanggung Jawab: Kami meminta agar semua kerentanan dilaporkan kepada kami di [email protected]. Kami percaya bahwa bertentangan dengan semangat program ini untuk mengungkapkan kesalahan kepada pihak ketiga untuk tujuan selain memperbaiki bug. Peserta setuju untuk tidak mengungkapkan bug yang ditemukan sampai setelah mereka diperbaiki dan untuk mengoordinasikan pengungkapan dengan tim kami melalui catatan rilis kami untuk menghindari kebingungan.

Pengujian yang Bertanggung Jawab:  Harap jangan meretas akun pengguna, database korup, atau membocorkan data yang mungkin sensitif. Kami juga mencegah pengujian kerentanan yang menurunkan kualitas layanan untuk pengguna kami. Jika ragu, jangan ragu untuk menghubungi Tim Keamanan kami di [email protected]

Ketaatan pada Aturan: Dengan berpartisipasi dalam program ini, Anda setuju untuk mematuhi aturan dan ketentuan di atas. Semua aturan harus dipatuhi agar memenuhi syarat untuk penghargaan.

Kerentanan kualifikasi

Setiap desain atau masalah implementasi yang secara substansial mempengaruhi kerahasiaan atau integritas data pengguna kemungkinan berada dalam ruang lingkup program. Ini termasuk, tetapi tidak terbatas pada:

Aplikasi Web

  • Skrip lintas situs
  • Pemalsuan permintaan lintas situs
  • Skrip konten campuran
  • Kelemahan autentikasi atau otorisasi
  • Bug eksekusi kode sisi server
  • REST API kerentanan

Server

  • Akses shell tidak resmi
  • Eskalasi hak istimewa
  • Eksekusi kode jarak jauh

Aplikasi

  • Kelemahan autentikasi atau otorisasi
  • Pelanggaran keamanan data lokal (tanpa rooting)

Kami percaya dalam bekerja sama dengan peneliti keamanan dan bersedia untuk berbagi rincian teknis seperti spesifikasi API, kode sumber, atau detail infrastruktur dengan peneliti terpilih dengan tujuan meningkatkan keamanan untuk semua pengguna ProtonMail. Mohon hubungi [email protected] untuk lebih jelasnya.

Perbaikan yang Memenuhi Syarat

Terkadang, hadiah diberikan untuk saran untuk peningkatan yang tidak termasuk dalam kategori di atas. Ini ditentukan berdasarkan kasus per kasus oleh tim kami. Ini termasuk hal-hal seperti:

  • Peningkatan konfigurasi server
  • Konfigurasi firewall
  • Pengamanan DoS / DDoS yang ditingkatkan
  • Path / pengungkapan informasi

Kerentanan Non-Kualifikasi

  • Kelemahan yang berdampak pada browser yang ketinggalan zaman (maaf, masalah keamanan IE6 tidak memenuhi syarat)
  • Masalah keamanan di luar ruang lingkup model ancaman ProtonVPN
  • Serangan phishing atau rekayasa sosial
  • Bug yang membutuhkan interaksi pengguna yang sangat tidak mungkin
  • Bug WordPress (tapi tolong laporkan itu ke WordPress)
  • Perangkat lunak kedaluwarsa – Untuk berbagai alasan, kami tidak selalu menjalankan versi perangkat lunak terbaru, tetapi kami menjalankan perangkat lunak yang sepenuhnya ditambal
  • Bug perangkat lunak di OpenVPN atau IKEv2 (tapi tolong laporkan ke penulisnya)

Jumlah Hadiah

Ukuran hadiah yang kami bayarkan ditentukan berdasarkan kasus per kasus dan sangat tergantung pada tingkat permasalahannya. Untuk dianugerahi hadiah, Anda biasanya perlu orang pertama yang melaporkan suatu masalah, meskipun terkadang pengecualian dibuat. Panduan hadiah kasar disediakan di bawah ini:

Kerentanan server dan aplikasi kecil yang tidak membahayakan data atau privasi pengguna: $ 50
Kerentanan yang dapat menyebabkan korupsi data: $ 200
Kerentanan yang dapat menyebabkan pengungkapan data pengguna atau membahayakan privasi pengguna: $ 1.000+
Hadiah maksimum: $ 10.000

Pedoman Pelaporan

Silakan laporkan masalah ke [email protected]. Masalah harus dilaporkan dengan instruksi yang jelas tentang cara mereproduksi masalah dan / atau bukti konsep.

Salam Hormat,
Tim Teknologi Proton

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map