Mantendo o ProtonVPN Seguro

Assim como no ProtonMail, criamos o ProtonVPN com ênfase na segurança. Hoje, estamos lançando um programa de recompensas de bugs para melhorar ainda mais a segurança do ProtonVPN.

Ao operar um serviço VPN, a segurança é necessária não apenas para as conexões e protocolos VPN. A segurança também é necessária para a infraestrutura do servidor subjacente, as páginas da web e os painéis, os próprios aplicativos VPN, o sistema de pagamento e também os bancos de dados do usuário. Para proteger adequadamente a privacidade do usuário, precisamos proteger todos os aspectos do serviço de comprometimento.


Ao criar o ProtonVPN, utilizamos o conhecimento de segurança que adquirimos ao executar o maior serviço de email seguro do mundo. Também trabalhamos em conjunto com os colaboradores de segurança do ProtonMail e com a comunidade em geral no fortalecimento de todos os aspectos do ProtonVPN. Recentemente, trabalhamos em conjunto com Mazin Ahmed, colaborador de segurança de longa data do ProtonMail, para concluir uma auditoria abrangente de segurança do ProtonVPN e adicionar proteção adicional.

Nosso programa de recompensa de bugs nos permite estender o trabalho que já fazemos diariamente para proteger os usuários do ProtonVPN. Por esse motivo, agora que o ProtonVPN foi lançado oficialmente, uma das primeiras coisas que estamos fazendo é lançar o ProtonVPN Bug Bounty Program. Com este programa, estamos convidando especialistas em segurança de todo o mundo para tentar encontrar pontos fracos no ProtonVPN, e pagaremos recompensas (recompensas) por problemas de segurança relatados a nós por meio deste programa. Se você é um pesquisador de segurança, também pode participar do Programa ProtonMail Bug Bounty.

Programa de Recompensa de Bug do ProtonVPN

Regras

Escopo: O programa é limitado aos servidores e aplicativos da Web, desktop e móveis executados pelo ProtonVPN. Nossos perfis no Facebook, Twitter, Linkedin, Eventbrite etc. não se qualificam. Sites qualificados incluem:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Nota: .ch e não .com]

Os aplicativos ProtonVPN no Windows, MacOS, Linux, iOS e Android também estão incluídos neste programa.

A julgar: O painel de juízes para determinar prêmios consiste em desenvolvedores do ProtonVPN e ProtonMail, assistidos por um ou mais especialistas externos que fazem parte do nosso grupo de segurança. Os participantes do programa concordam em respeitar a decisão final tomada pelos juízes.

Divulgação Responsável: Solicitamos que todas as vulnerabilidades sejam relatadas para nós em [email protected]. Acreditamos que é contra o espírito deste programa divulgar a falha a terceiros para outros fins que não sejam realmente corrigir o bug. Os participantes concordam em não divulgar os erros encontrados até depois de serem corrigidos e coordenar a divulgação com nossa equipe por meio de nossas notas de versão para evitar confusão.

Teste Responsável:  Não invadir contas de usuários, bancos de dados corrompidos ou vazar dados que possam ser sensíveis. Também desencorajamos testes de vulnerabilidade que degradam a qualidade do serviço para nossos usuários. Em caso de dúvida, entre em contato com nossa equipe de segurança em [email protected]

Adesão às Regras: Ao participar deste programa, você concorda em seguir as regras e condições acima. Todas as regras devem ser seguidas para se qualificar para prêmios.

Vulnerabilidades qualificadas

Qualquer problema de design ou implementação que afete substancialmente a confidencialidade ou integridade dos dados do usuário provavelmente estará no escopo do programa. Isso inclui, mas não se limita a:

Aplicativos da web

  • Script entre sites
  • Falsificação de solicitação entre sites
  • Scripts de conteúdo misto
  • Falhas de autenticação ou autorização
  • Erros de execução de código no servidor
  • Vulnerabilidades da API REST

Servidor

  • Acesso não autorizado ao shell
  • Escalonamento de privilégios
  • Execução remota de código

Formulários

  • Falhas de autenticação ou autorização
  • Violação de segurança de dados local (sem enraizamento)

Acreditamos em trabalhar em estreita colaboração com pesquisadores de segurança e estamos dispostos a compartilhar detalhes técnicos, como especificações de API, código fonte ou detalhes de infraestrutura, com pesquisadores selecionados, com o objetivo de melhorar a segurança de todos os usuários do ProtonMail. Por favor entre em contato [email protected] para mais detalhes.

Melhorias de qualificação

Às vezes, recompensas são concedidas por sugestões de melhoria que não se enquadram em nenhuma das categorias acima. Isso é determinado caso a caso por nossa equipe. Isso inclui coisas como:

  • Melhorias na configuração do servidor
  • Configurações de firewall
  • Salvaguardas aprimoradas de DoS / DDoS
  • Caminho / divulgação de informações

Vulnerabilidades não qualificadas

  • Falhas que afetam navegadores desatualizados (desculpe, os problemas de segurança do IE6 não se qualificam)
  • Problemas de segurança fora do escopo do modelo de ameaças do ProtonVPN
  • Ataques de phishing ou engenharia social
  • Erros que exigem interações extremamente improváveis ​​do usuário
  • Erros do WordPress (mas informe-os ao WordPress)
  • Software desatualizado – Por várias razões, nem sempre executamos as versões mais recentes, mas executamos software totalmente corrigido
  • Bugs de software no OpenVPN ou IKEv2 (mas informe-os aos autores)

Valores da recompensa

O tamanho da recompensa que pagamos é determinado caso a caso e depende em grande parte da gravidade do problema. Para receber uma recompensa, você geralmente precisa estar a primeira pessoa a relatar um problema, embora algumas vezes sejam feitas exceções. Diretrizes gerais sobre recompensas são fornecidas abaixo:

Pequenas vulnerabilidades de servidor e aplicativo que não comprometem os dados ou a privacidade do usuário: US $ 50
Vulnerabilidades que podem levar à corrupção de dados: US $ 200
Vulnerabilidades que podem levar à divulgação de dados do usuário ou comprometer a privacidade do usuário: US $ 1.000+
Recompensa máxima: US $ 10.000

Diretrizes para relatórios

Por favor, reporte problemas para [email protected]. Os problemas devem ser relatados com instruções claras sobre como reproduzir o problema e / ou a prova de conceito.

Cumprimentos,
Equipe Proton Technologies

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map