Att hålla ProtonVPN säkert

Liksom med ProtonMail har vi byggt ProtonVPN med betoning på säkerhet. Idag lanserar vi ett Bug Bounty-program för att ytterligare förbättra ProtonVPN: s säkerhet.

Vid drift av en VPN-tjänst krävs säkerhet inte bara för VPN-anslutningar och protokoll själva. Säkerhet behövs också för den underliggande serverinfrastrukturen, webbsidor och instrumentpaneler, VPN-applikationerna själva, betalningssystemet och även användardatabaser. För att skydda användarnas integritet korrekt måste vi skydda alla aspekter av tjänsten från kompromisser.


När vi byggde ProtonVPN utnyttjade vi den säkerhetskompetens vi har fått genom att driva världens största säkra e-posttjänst. Vi har också arbetat tillsammans med ProtonMail-säkerhetsbidragsgivare och det bredare samhället för att stärka alla aspekter av ProtonVPN. Nyligen arbetade vi tillsammans med lång tid ProtonMail säkerhetsbidragare Mazin Ahmed för att genomföra en omfattande säkerhetsrevision av ProtonVPN och lägga till ytterligare härdning.

Vår bug bounty program tillåter oss att utöka det arbete som vi redan gör dagligen för att skydda ProtonVPN-användare. Av denna anledning, nu när ProtonVPN officiellt har lanserat, är en av de första sakerna vi gör att lansera ProtonVPN Bug Bounty-programmet. Med detta program inbjuder vi säkerhetsexperter från hela världen för att försöka hitta svagheter inom ProtonVPN, och vi kommer att betala belöningar (belöningar) för säkerhetsproblem som rapporteras till oss genom detta program. Om du är säkerhetsforskare kan du också delta i ProtonMail Bug Bounty-programmet.

ProtonVPN Bug Bounty Program

regler

Omfattning: Programmet är begränsat till servrar och webb-, stationära och mobila applikationer som drivs av ProtonVPN. Våra profiler på Facebook, Twitter, Linkedin, Eventbrite, etc. är inte kvalificerade. Kvalificerade webbplatser inkluderar:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Notera: .ch och inte. com]

ProtonVPN-applikationerna på Windows, MacOS, Linux, iOS och Android ingår också i detta program.

Bedömning: Domarpanelen för att bestämma priser består av ProtonVPN- och ProtonMail-utvecklare med hjälp av en eller flera externa experter som ingår i vår säkerhetsgrupp. Programdeltagarna går med på att respektera det slutliga beslutet som gjorts av domarna.

Ansvarig avslöjande: Vi begär att alla sårbarheter rapporteras till oss på [email protected]. Vi anser att det är mot andan i detta program att avslöja bristen till tredje part för andra syften än att faktiskt fixa felet. Deltagarna går med på att inte avslöja buggar som hittats förrän efter att de har fixats och för att koordinera avslöjandet med vårt team genom våra utgivningsanmärkningar för att undvika förvirring.

Ansvarig testning:  Snälla hacka inte användarkonton, skadade databaser eller läcka data som kan vara känsliga. Vi avskräcker också sårbarhetstest som försämrar servicekvaliteten för våra användare. Om du är osäker, kontakta vårt säkerhetsteam på [email protected]

Följande regler: Genom att delta i detta program godkänner du att följa ovanstående regler och villkor. Alla regler måste följas för att vara berättigade till utmärkelser.

Kvalificerade sårbarheter

Varje design- eller implementeringsproblem som väsentligt påverkar konfidentialiteten eller integriteten för användardata kommer sannolikt att ligga inom programmet. Detta inkluderar, men är inte begränsat till:

Webbapplikationer

  • Skript på flera platser
  • Förfalskning över olika platser
  • Skript med blandat innehåll
  • Autentiserings- eller godkännandefel
  • Bugg för körning av serversidan
  • REST API-sårbarheter

server

  • Obehörig skalåtkomst
  • Privilegieupptrappning
  • Exekvering av fjärrkod

tillämpningar

  • Autentiserings- eller godkännandefel
  • Lokalt datasäkerhetsöverträdelse (utan rooting)

Vi tror på att arbeta nära med säkerhetsforskare och är villiga att dela tekniska detaljer som API-specifikationer, källkod eller infrastrukturinformation med utvalda forskare i syfte att förbättra säkerheten för alla ProtonMail-användare. Vänligen kontakta [email protected] för mer detaljer.

Kvalificerade förbättringar

Ibland delas ut belopp för förslag på förbättringar som inte faller inom någon av ovanstående kategorier. Detta avgörs från fall till fall av vårt team. Dessa inkluderar saker som:

  • Förbättringar av serverkonfigurationen
  • Brandväggskonfigurationer
  • Förbättrade DoS / DDoS-skyddsåtgärder
  • Sökväg / information

Icke-kvalificerade sårbarheter

  • Brister som påverkar föråldrade webbläsare (ledsen, IE6-säkerhetsproblem är inte kvalificerade)
  • Säkerhetsfrågor utanför räckvidden för ProtonVPNs hotmodell
  • Phishing- eller socialteknikattacker
  • Bugs som kräver extremt osannolika användarinteraktioner
  • WordPress-buggar (men rapportera dem till WordPress)
  • Föråldrad programvara – Av olika skäl kör vi inte alltid de senaste programversionerna, men vi kör programvara som är fullständigt korrigerad
  • Programvarufel i OpenVPN eller IKEv2 (men rapportera dem till författarna)

Belöningsbelopp

Storleken på den vinst som vi betalar bestäms från fall till fall och beror till stor del på svårighetsgraden av frågan. För att bli belönad måste du vara det den första personen som rapporterar ett problem, även om ibland undantag görs. Grova riktlinjer för prisbelopp finns nedan:

Mindre server- och app-sårbarheter som inte äventyrar användardata eller sekretess: 50 $
Sårbarheter som kan leda till datakorruption: 200 $
Sårbarheter som kan leda till avslöjande av användardata eller äventyra användarnas integritet: 1 000 USD+
Maximal premie: $ 10.000

Riktlinjer för rapportering

Rapportera problem till [email protected]. Problem bör rapporteras med tydliga instruktioner om hur man reproducerar frågan och / eller ett konceptbevis.

Vänliga hälsningar,
Proton Technologies Team

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map