Gæsla ProtonVPN örugg

Eins og með ProtonMail höfum við byggt ProtonVPN með áherslu á öryggi. Í dag setjum við af stað Bug Bounty forrit til að auka enn frekar öryggi ProtonVPN.

Við notkun á VPN þjónustu er öryggi ekki aðeins krafist fyrir VPN tengingarnar og samskiptareglur sjálfar. Öryggi er einnig nauðsynlegt fyrir undirliggjandi grunngerð netþjónanna, vefsíður og mælaborð, VPN forritin sjálf, greiðslukerfið og einnig gagnagrunna notenda. Til að vernda friðhelgi einkalífs notenda verðum við að vernda alla þætti þjónustunnar gegn málamiðlun.


Við uppbyggingu ProtonVPN, notuðum við þá öryggisþekkingu sem við höfum fengið með því að reka stærstu öruggu póstþjónustu í heimi. Við höfum einnig unnið saman með ProtonMail öryggisframfærendum og breiðara samfélagi að því að styrkja alla þætti ProtonVPN. Nýlega unnum við ásamt ProtonMail öryggisframlagi Mazin Ahmed í langan tíma við að ljúka alhliða öryggisúttekt á ProtonVPN og bæta við aukinni herðingu.

Okkar villuleikforrit gerir okkur kleift að framlengja þá vinnu sem við vinnum nú þegar daglega til að vernda ProtonVPN notendur. Af þessum sökum, nú þegar ProtonVPN hefur opinberlega hleypt af stokkunum, er eitt af fyrstu hlutunum sem við erum að gera að hefja ProtonVPN Bug Bounty Program. Með þessu forriti erum við að bjóða öryggissérfræðingar víðsvegar að úr heiminum til að reyna að finna veikleika innan ProtonVPN, og við munum greiða umbun (bounties) fyrir öryggismál sem eru tilkynnt okkur í gegnum þetta forrit. Ef þú ert öryggisrannsakandi geturðu einnig tekið þátt í ProtonMail Bug Bounty Program.

ProtonVPN Bug Bounty Program

Reglur

Umfang: Forritið er takmarkað við netþjóna og vef-, skrifborðs- og farsímaforrit rekin af ProtonVPN. Prófíll okkar á Facebook, Twitter, Linkedin, Eventbrite osfrv. Meðal hæfra síðna eru:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Athugið: .ch og ekki. Com]

ProtonVPN forritin á Windows, MacOS, Linux, iOS og Android eru einnig innifalin í þessu forriti.

Dæma: Dómnefndin til að ákvarða verðlaun samanstendur af ProtonVPN og ProtonMail verktaki aðstoðar einum eða fleiri utanaðkomandi sérfræðingum sem eru hluti af öryggishópnum okkar. Þátttakendur áætlunarinnar eru sammála um að virða lokaákvörðun dómara.

Ábyrg upplýsingagjöf: Við biðjum um að tilkynnt sé um öll varnarleysi hjá okkur kl [email protected]. Við teljum að það sé í anda þessarar áætlunar að upplýsa um galla þriðja aðila í öðrum tilgangi en að laga villuna. Þátttakendur eru sammála um að láta ekki í ljós galla sem fundust fyrr en eftir að þeim hefur verið lagað og til að samræma upplýsingagjöf með teymi okkar í gegnum útgáfubréf okkar til að forðast rugling.

Ábyrg próf:  Vinsamlegast ekki hakka notendareikninga, spillt gagnagrunna eða leka gögnum sem gætu verið viðkvæm. Við letjum einnig úr varnarprófum sem skerða gæði þjónustunnar fyrir notendur okkar. Ef þú ert í vafa skaltu ekki hika við að hafa samband við öryggissveitina okkar á [email protected]

Fylgni við reglur: Með því að taka þátt í þessu forriti samþykkir þú að fylgja ofangreindum reglum og skilyrðum. Fylgja verður öllum reglum til að vera gjaldgeng til verðlauna.

Viðurkenndar varnarleysi

Sérhvert hönnunar- eða útfærslumál sem hefur veruleg áhrif á trúnað eða heiðarleika notendagagna er líklega innan gildissviðs forritsins. Þetta felur í sér, en er ekki takmarkað við:

Vefforrit

  • Handrit yfir vefinn
  • Falsanir yfir beiðni á milli staða
  • Handrit með blanduðu efni
  • Sannvottun eða heimildir gallar
  • Villur á framkvæmd kóða á netþjóni
  • REST API varnarleysi

Netþjónn

  • Óheimill skel aðgangur
  • Stigmögnun forréttinda
  • Framkvæmd fjarkóða

Forrit

  • Sannvottun eða heimildir gallar
  • Staðbundið gagnaöryggisbrot (án rótar)

Við trúum á að vinna náið með vísindamönnum í öryggismálum og erum reiðubúin að deila tæknilegum upplýsingum, svo sem API-forskriftum, frumkóða eða upplýsingum um innviði með völdum vísindamönnum með það að markmiði að bæta öryggi allra ProtonMail notenda. Vinsamlegast hafðu samband [email protected] fyrir frekari upplýsingar.

Viðbótarbætur

Stundum eru veitt verðlaun fyrir tillögur til úrbóta sem falla ekki undir neinn ofangreindra flokka. Þetta er ákvarðað í hverju tilviki fyrir sig af teymi okkar. Má þar nefna hluti eins og:

  • Endurbætur á stillingum miðlarans
  • Stillingar eldveggs
  • Bættar varnir gegn DoS / DDoS
  • Slóð / upplýsingagjöf

Ekki varnarleysi

  • Gallar sem hafa áhrif á úreltra vafra (því miður, öryggisvandamál IE6 uppfylla ekki skilyrði)
  • Öryggismál utan gildissviðs ógnarlíkans ProtonVPN
  • Phishing eða árásir á félagslega verkfræði
  • Villur sem krefjast mjög ólíklegrar notendasamskipta
  • WordPress galla (en vinsamlegast tilkynntu þeim til WordPress)
  • Foreldur hugbúnaður – Af margvíslegum ástæðum, höldum við ekki alltaf nýjustu hugbúnaðarútgáfunum, heldur rekum hugbúnað sem er að fullu lagaður
  • Hugbúnaðarvillur í OpenVPN eða IKEv2 (en vinsamlegast tilkynntu þeim til höfunda)

Verðlauna upphæðir

Stærð skatta sem við greiðum ræðst af hverju sinni og fer að miklu leyti eftir alvarleika útgáfunnar. Til að fá verðlaun hlýturðu venjulega að vera það fyrstur til að tilkynna um mál, þó stundum séu undantekningar gerðar. Hér fyrir neðan eru leiðbeiningar um grófa upphæð:

Minniháttar varnarleysi á netþjóni og forriti sem skerða ekki notendagögn eða friðhelgi einkalífs: $ 50
Veikleikar sem geta leitt til spillingar gagna: 200 $
Veikleikar sem geta leitt til upplýsingagjafar notenda eða teflt friðhelgi notenda: $ 1.000+
Hámarksfé: 10.000 $

Leiðbeiningar um skýrslugerð

Vinsamlegast tilkynnið mál til [email protected]. Tilkynna skal um mál með skýrum fyrirmælum um hvernig eigi að endurskapa málið og / eða sönnun fyrir hugmyndinni.

Bestu kveðjur,
Proton Technologies teymið

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me