Menjaga ProtonVPN dengan Selamat

Seperti ProtonMail, kami telah membina ProtonVPN dengan penekanan pada keselamatan. Hari ini, kami melancarkan Program Bug Bounty untuk meningkatkan lagi keselamatan ProtonVPN.

Dalam mengendalikan perkhidmatan VPN, keamanan diperlukan bukan hanya untuk sambungan dan protokol VPN itu sendiri. Keselamatan juga diperlukan untuk infrastruktur pelayan yang mendasari, halaman web dan papan pemuka, aplikasi VPN itu sendiri, sistem pembayaran, dan juga pangkalan data pengguna. Untuk melindungi privasi pengguna dengan betul, kita perlu melindungi semua aspek perkhidmatan dari kompromi.


Dalam membina ProtonVPN, kami menggunakan kepakaran keselamatan yang kami perolehi daripada menjalankan perkhidmatan e-mel selamat terbesar di dunia. Kami juga telah bekerjasama dengan penyumbang keselamatan ProtonMail dan masyarakat yang lebih luas untuk memperkukuhkan semua aspek ProtonVPN. Baru-baru ini, kami bekerjasama dengan penyumbang keselamatan ProtonMail lama Mazin Ahmed untuk menyelesaikan audit keselamatan komprehensif ProtonVPN dan menambahkan pengerasan tambahan.

Kami program bug bounty membolehkan kami memperluaskan kerja yang telah kami lakukan setiap hari untuk melindungi pengguna ProtonVPN. Atas sebab ini, sekarang ProtonVPN telah dilancarkan secara rasmi, salah satu perkara pertama yang kami lakukan adalah melancarkan Program ProtonVPN Bug Bounty. Dengan program ini, kami mengundang pakar keselamatan dari seluruh dunia untuk berusaha mencari kelemahan dalam ProtonVPN, dan kami akan membayar ganjaran (karunia) untuk masalah keselamatan yang dilaporkan kepada kami melalui program ini. Sekiranya anda seorang penyelidik keselamatan, anda juga boleh menyertai Program ProtonMail Bug Bounty.

Program Bug Bounty ProtonVPN

Peraturan

Skop: Program ini terhad kepada pelayan dan aplikasi web, desktop dan mudah alih yang dikendalikan oleh ProtonVPN. Profil kami di Facebook, Twitter, Linkedin, Eventbrite, dan lain-lain, tidak memenuhi syarat. Laman web yang layak merangkumi:

  • protonvpn.com
  • akaun.protonvpn.com
  • api.protonvpn.ch [Nota: .ch dan bukan .com]

Aplikasi ProtonVPN pada Windows, MacOS, Linux, iOS dan Android juga disertakan dalam program ini.

Menilai: Panel penghakiman untuk menentukan anugerah terdiri daripada pemaju ProtonVPN dan ProtonMail yang dibantu oleh satu atau lebih pakar luar yang merupakan sebahagian daripada kumpulan keselamatan kami. Peserta program bersetuju untuk menghormati keputusan akhir yang dibuat oleh para hakim.

Pendedahan Bertanggungjawab: Kami meminta agar semua kelemahan dilaporkan kepada kami di [email protected]. Kami percaya bahawa bertentangan dengan semangat program ini untuk mendedahkan kekurangan kepada pihak ketiga untuk tujuan selain daripada benar-benar memperbaiki bug. Peserta bersetuju untuk tidak mendedahkan bug yang dijumpai sehingga setelah diperbaiki dan untuk menyelaraskan pendedahan dengan pasukan kami melalui nota pelepasan kami untuk mengelakkan kekeliruan.

Ujian Bertanggungjawab:  Jangan menggodam akaun pengguna, pangkalan data yang rosak, atau membocorkan data yang mungkin sensitif. Kami juga tidak menggalakkan ujian kerentanan yang menurunkan kualiti perkhidmatan untuk pengguna kami. Sekiranya ragu-ragu, sila hubungi Pasukan Keselamatan kami di [email protected]

Mematuhi Peraturan: Dengan menyertai program ini, anda bersetuju untuk mematuhi peraturan dan syarat di atas. Semua peraturan mesti dipatuhi agar layak mendapat anugerah.

Kelayakan yang memenuhi syarat

Sebarang masalah reka bentuk atau pelaksanaan yang secara substansial mempengaruhi kerahsiaan atau integriti data pengguna kemungkinan berada dalam ruang lingkup program ini. Ini termasuk, tetapi tidak terhad kepada:

Aplikasi Web

  • Skrip merentas laman web
  • Permintaan pemalsuan lintas tapak
  • Skrip kandungan campuran
  • Kekurangan pengesahan atau kebenaran
  • Bug pelaksanaan kod sisi pelayan
  • Kerentanan API REST

Pelayan

  • Akses shell yang tidak dibenarkan
  • Peningkatan hak istimewa
  • Pelaksanaan kod jauh

Permohonan

  • Kekurangan pengesahan atau kebenaran
  • Pelanggaran keselamatan data tempatan (tanpa rooting)

Kami yakin dapat bekerjasama rapat dengan penyelidik keselamatan dan bersedia berkongsi butiran teknikal seperti spesifikasi API, kod sumber, atau perincian infrastruktur dengan penyelidik terpilih dengan tujuan meningkatkan keselamatan untuk semua pengguna ProtonMail. Sila hubungi [email protected] untuk keterangan lebih lanjut.

Penambahbaikan Berkelayakan

Kadang kala, karunia diberikan untuk cadangan penambahbaikan yang tidak termasuk dalam kategori di atas. Ini ditentukan berdasarkan kes demi kes oleh pasukan kami. Ini merangkumi perkara seperti:

  • Peningkatan konfigurasi pelayan
  • Konfigurasi firewall
  • Perlindungan DoS / DDoS yang lebih baik
  • Pendedahan jalan / maklumat

Kerentanan yang Tidak Berkelayakan

  • Kekurangan yang mempengaruhi penyemak imbas ketinggalan zaman (maaf, masalah keselamatan IE6 tidak memenuhi syarat)
  • Masalah keselamatan di luar skop model ancaman ProtonVPN
  • Serangan pancingan data atau kejuruteraan sosial
  • Pepijat memerlukan interaksi pengguna yang sangat tidak mungkin
  • Bug WordPress (tetapi sila laporkan ke WordPress)
  • Perisian yang lapuk – Untuk pelbagai sebab, kami tidak selalu menjalankan versi perisian yang paling baru, tetapi kami menjalankan perisian yang ditambal sepenuhnya
  • Bug perisian di OpenVPN atau IKEv2 (tetapi sila laporkan kepada pengarang mereka)

Jumlah Ganjaran

Ukuran karunia yang kita bayar ditentukan berdasarkan kes demi kes dan sebahagian besarnya bergantung pada keparahan masalah. Untuk mendapat anugerah, biasanya anda perlu orang pertama yang melaporkan masalah, walaupun kadangkala pengecualian dibuat. Garis panduan karunia kasar disediakan di bawah:

Kerentanan pelayan dan aplikasi kecil yang tidak menjejaskan data atau privasi pengguna: $ 50
Kerentanan yang boleh menyebabkan kerosakan data: $ 200
Kerentanan yang boleh menyebabkan pendedahan data pengguna atau membahayakan privasi pengguna: $ 1,000+
Bounty maksimum: $ 10,000

Garis Panduan Pelaporan

Sila laporkan masalah kepada [email protected]. Isu harus dilaporkan dengan arahan yang jelas mengenai bagaimana menghasilkan semula masalah dan / atau bukti konsep.

Selamat sejahtera,
Pasukan Proton Technologies

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map