Păstrând ProtonVPN în siguranță

Ca și în cazul ProtonMail, am construit ProtonVPN cu accent pe securitate. Astăzi, lansăm un program Bug Bounty pentru a spori și mai mult securitatea ProtonVPN.

În operarea unui serviciu VPN, securitatea este necesară nu numai pentru conexiunile și protocoalele VPN în sine. Securitatea este necesară, de asemenea, pentru infrastructura serverului de bază, pentru paginile web și tablourile de bord, aplicațiile VPN în sine, sistemul de plată și, de asemenea, bazele de date ale utilizatorilor. Pentru a proteja în mod corespunzător confidențialitatea utilizatorilor, trebuie să protejăm toate aspectele serviciului împotriva compromisurilor.


În construirea ProtonVPN, ne-am bazat pe expertiza de securitate pe care am obținut-o prin administrarea celui mai mare serviciu de e-mail securizat din lume. De asemenea, am colaborat cu colaboratorii de securitate ProtonMail și cu o comunitate mai largă pentru consolidarea tuturor aspectelor ProtonVPN. Recent, am lucrat împreună cu colaboratorul de securitate ProtonMail, Mazin Ahmed, pentru a finaliza un audit complet de securitate al ProtonVPN și pentru a adăuga întăriri suplimentare.

Al nostru program de bounty bug ne permite să extindem activitatea pe care o facem deja zilnic pentru a proteja utilizatorii ProtonVPN. Din acest motiv, acum când ProtonVPN s-a lansat oficial, unul dintre primele lucruri pe care le facem este lansarea Programului ProtonVPN Bug Bounty. Cu acest program, vă invităm experți în securitate din întreaga lume pentru a încerca să găsească punctele slabe din ProtonVPN, și vom plăti recompense (bonuri) pentru problemele de securitate care ne sunt raportate prin intermediul acestui program. Dacă sunteți cercetător în securitate, puteți participa, de asemenea, la programul ProtonMail Bug Bounty.

Programul ProtonVPN Bug Bounty

reguli

Domeniul de aplicare: Programul este limitat la servere și aplicații web, desktop și mobile administrate de ProtonVPN. Profilele noastre de pe Facebook, Twitter, Linkedin, Eventbrite etc. nu se califică. Site-urile care se califică includ:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Notă: .ch și nu .com]

Aplicațiile ProtonVPN de pe Windows, MacOS, Linux, iOS și Android sunt de asemenea incluse în acest program.

judecând: Panoul de judecată pentru determinarea premiilor este format din dezvoltatorii ProtonVPN și ProtonMail, ajutați de unul sau mai mulți experți externi care fac parte din grupul nostru de securitate. Participanții la program sunt de acord să respecte decizia finală luată de judecători.

Dezvăluirea responsabilă: Solicităm ca toate vulnerabilitățile să ne fie raportate la [email protected]. Considerăm că este împotriva spiritului acestui program să dezvăluim defectul către terți în alte scopuri decât să rezolve efectiv eroarea. Participanții sunt de acord să nu dezvăluie erorile găsite decât după ce au fost remediate și să coordonăm dezvăluirea cu echipa noastră prin notele noastre de lansare pentru a evita confuziile.

Testare responsabilă:  Vă rugăm să nu piratați conturi de utilizator, baze de date corupte sau date despre scurgeri care ar putea fi sensibile. De asemenea, descurajăm testarea vulnerabilității care degradează calitatea serviciilor pentru utilizatorii noștri. Dacă aveți îndoieli, nu ezitați să contactați echipa noastră de securitate la adresa [email protected]

Respectarea regulilor: Prin participarea la acest program, sunteți de acord să respectați regulile și condițiile de mai sus. Toate regulile trebuie respectate pentru a fi eligibile pentru premii.

Vulnerabilități de calificare

Orice problemă de proiectare sau implementare care afectează în mod substanțial confidențialitatea sau integritatea datelor utilizatorului este probabil să fie în domeniul de aplicare al programului. Aceasta include, dar nu se limitează la:

Aplicații Web

  • Scripturi cross-site
  • Falsificarea solicitării în site-uri
  • Scripturi cu conținut mixt
  • Defecțiuni de autentificare sau de autorizare
  • Bug-uri de execuție a codului la server
  • Vulnerabilități API REST

Server

  • Acces neautorizat pentru shell
  • Privilegiul escaladării
  • Executarea codului de la distanță

Aplicații

  • Defecțiuni de autentificare sau de autorizare
  • Încălcarea securității datelor locale (fără rooting)

Credem în colaborarea strânsă cu cercetătorii în domeniul securității și suntem dispuși să împărtășim detalii tehnice, cum ar fi specificațiile API, codul sursă sau detaliile infrastructurii cu cercetătorii selectați, cu scopul de a îmbunătăți securitatea pentru toți utilizatorii ProtonMail. Vă rog contactați [email protected] pentru mai multe detalii.

Îmbunătățirile de calificare

Uneori, bonurile sunt acordate pentru sugestii de îmbunătățire care nu se încadrează în niciuna din categoriile de mai sus. Acest lucru este determinat de la echipa noastră de la caz la caz. Acestea includ lucruri precum:

  • Îmbunătățirea configurației serverului
  • Configurații firewall
  • Protecții îmbunătățite DoS / DDoS
  • Dezvăluirea căilor / informațiilor

Vulnerabilități necalificative

  • Defecte care afectează browserele neactualizate (scuze, problemele de securitate IE6 nu se califică)
  • Probleme de securitate în afara modelului de amenințare al ProtonVPN
  • Atacuri de phishing sau inginerie socială
  • Erori care necesită interacțiuni extrem de puțin probabil de utilizator
  • Bug-uri WordPress (dar vă rugăm să le raportați la WordPress)
  • Software-ul învechit – Din mai multe motive, nu rulăm întotdeauna cele mai recente versiuni de software, dar rulăm software care este complet plasat
  • Bug-uri software în OpenVPN sau IKEv2 (dar vă rugăm să le raportați autorilor lor)

Sume de recompensă

Mărimea recompensei pe care o plătim este determinată de la caz la caz și depinde în mare măsură de gravitatea problemei. Pentru a fi acordat o recompensă, de obicei trebuie să fiți prima persoană care a raportat o problemă, deși uneori se fac excepții. Mai jos sunt prezentate liniile directoare cu privire la recompense

Vulnerabilități minore pentru server și aplicații care nu compromit datele utilizatorului sau confidențialitatea: 50 USD
Vulnerabilități care pot duce la corupția datelor: 200 USD
Vulnerabilități care pot duce la dezvăluirea datelor utilizatorului sau pot pune în pericol confidențialitatea utilizatorilor: 1.000 USD+
Bunda maximă: 10.000 USD

Ghid de raportare

Vă rugăm să raportați problemele [email protected]. Problemele trebuie raportate cu instrucțiuni clare despre modul de reproducere a problemei și / sau dovada conceptului.

Toate cele bune,
Echipa Proton Technologies

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me