Manteniendo ProtonVPN seguro

Al igual que con ProtonMail, hemos creado ProtonVPN con énfasis en la seguridad. Hoy, estamos lanzando un programa Bug Bounty para mejorar aún más la seguridad de ProtonVPN.

Al operar un servicio VPN, se requiere seguridad no solo para las conexiones VPN y los protocolos en sí. También se necesita seguridad para la infraestructura del servidor subyacente, las páginas web y paneles, las propias aplicaciones VPN, el sistema de pago y también las bases de datos de los usuarios. Para proteger adecuadamente la privacidad del usuario, debemos proteger todos los aspectos del servicio de cualquier compromiso..


Al crear ProtonVPN, aprovechamos la experiencia en seguridad que hemos adquirido al ejecutar el servicio de correo electrónico seguro más grande del mundo. También hemos estado trabajando junto con los contribuyentes de seguridad de ProtonMail y la comunidad en general para fortalecer todos los aspectos de ProtonVPN. Recientemente, trabajamos junto con Mazin Ahmed, colaborador de seguridad de ProtonMail desde hace mucho tiempo, para completar una auditoría de seguridad integral de ProtonVPN y agregar un refuerzo adicional.

Nuestra programa de recompensas de errores nos permite extender el trabajo que ya hacemos diariamente para proteger a los usuarios de ProtonVPN. Por esta razón, ahora que ProtonVPN se lanzó oficialmente, una de las primeras cosas que estamos haciendo es lanzar el Programa ProtonVPN Bug Bounty. Con este programa, estamos invitando expertos en seguridad de todo el mundo para tratar de encontrar debilidades dentro de ProtonVPN, y pagaremos recompensas (recompensas) por problemas de seguridad que se nos informan a través de este programa. Si eres un investigador de seguridad, también puedes participar en el Programa de recompensa de errores de ProtonMail.

Programa ProtonVPN Bug Bounty

Reglas

Alcance: El programa se limita a los servidores y las aplicaciones web, de escritorio y móviles ejecutadas por ProtonVPN. Nuestros perfiles en Facebook, Twitter, Linkedin, Eventbrite, etc., no califican. Los sitios que califican incluyen:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Nota: .ch y no .com]

Las aplicaciones ProtonVPN en Windows, MacOS, Linux, iOS y Android también están incluidas en este programa..

Juzgar: El panel de jueces para determinar los premios consiste en desarrolladores de ProtonVPN y ProtonMail con la asistencia de uno o más expertos externos que forman parte de nuestro grupo de seguridad. Los participantes del programa acuerdan respetar la decisión final tomada por los jueces.

Divulgación responsable: Solicitamos que se nos informen todas las vulnerabilidades en [email protected]. Creemos que está en contra del espíritu de este programa divulgar la falla a terceros para fines distintos a la reparación del error. Los participantes acuerdan no divulgar los errores encontrados hasta que se hayan solucionado y para coordinar la divulgación con nuestro equipo a través de nuestras notas de lanzamiento para evitar confusiones.

Pruebas responsables:  No hackear cuentas de usuario, bases de datos corruptas o filtrar datos que puedan ser confidenciales. También desaconsejamos las pruebas de vulnerabilidad que degradan la calidad del servicio para nuestros usuarios. En caso de duda, no dude en ponerse en contacto con nuestro equipo de seguridad en [email protected]

Adhesión a las reglas: Al participar en este programa, acepta cumplir con las reglas y condiciones anteriores. Se deben seguir todas las reglas para ser elegible para premios.

Vulnerabilidades calificadas

Es probable que cualquier problema de diseño o implementación que afecte sustancialmente la confidencialidad o integridad de los datos del usuario esté dentro del alcance del programa. Esto incluye, pero no se limita a:

Aplicaciones web

  • Secuencias de comandos entre sitios
  • Falsificación de solicitudes entre sitios
  • Scripts de contenido mixto
  • Defectos de autenticación o autorización
  • Errores de ejecución de código del lado del servidor
  • Vulnerabilidades de API REST

Servidor

  • Acceso a shell no autorizado
  • Escalada de privilegios
  • Ejecución remota de código

Aplicaciones

  • Defectos de autenticación o autorización
  • Infracción de seguridad de datos local (sin enraizamiento)

Creemos en trabajar en estrecha colaboración con los investigadores de seguridad y estamos dispuestos a compartir detalles técnicos como especificaciones de API, código fuente o detalles de infraestructura con investigadores seleccionados con el objetivo de mejorar la seguridad para todos los usuarios de ProtonMail. Por favor contactar [email protected] para más detalles.

Mejoras calificativas

A veces, se otorgan recompensas por sugerencias de mejora que no se incluyen en ninguna de las categorías anteriores. Nuestro equipo determina esto caso por caso. Estos incluyen cosas como:

  • Mejoras en la configuración del servidor
  • Configuraciones de cortafuegos
  • Garantías DoS / DDoS mejoradas
  • Divulgación de ruta / información

Vulnerabilidades no calificadas

  • Defectos que afectan a los navegadores desactualizados (lo siento, los problemas de seguridad de IE6 no califican)
  • Problemas de seguridad fuera del alcance del modelo de amenaza de ProtonVPN
  • Ataques de phishing o ingeniería social
  • Errores que requieren interacciones de usuario extremadamente improbables
  • Errores de WordPress (pero infórmelos a WordPress)
  • Software desactualizado: por diversas razones, no siempre ejecutamos las versiones de software más recientes, pero sí ejecutamos software que está completamente parcheado
  • Errores de software en OpenVPN o IKEv2 (pero por favor repórtelos a sus autores)

Montos de recompensa

El tamaño de la recompensa que pagamos se determina caso por caso y depende en gran medida de la gravedad del problema. Para recibir una recompensa, generalmente debes ser la primera persona en informar un problema, aunque a veces se hacen excepciones. A continuación se proporcionan pautas aproximadas de recompensas:

Pequeñas vulnerabilidades del servidor y la aplicación que no comprometen los datos o la privacidad del usuario: $ 50
Vulnerabilidades que pueden conducir a la corrupción de datos: $ 200
Vulnerabilidades que pueden conducir a la divulgación de datos del usuario o poner en peligro la privacidad del usuario: $ 1,000+
Recompensa máxima: $ 10,000

Pautas de informes

Informe los problemas a [email protected]. Los problemas se deben informar con instrucciones claras sobre cómo reproducir el problema y / o prueba de concepto.

Atentamente,
El equipo de Proton Technologies

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me