Pagpapanatili ng ProtonVPN Secure

Tulad ng sa ProtonMail, binuo namin ang ProtonVPN na may diin sa seguridad. Ngayon, naglulunsad kami ng isang Bug Bounty Program upang mas mapahusay ang seguridad ng ProtonVPN.

Sa pagpapatakbo ng isang serbisyo ng VPN, kinakailangan ang seguridad hindi lamang para sa mga koneksyon sa VPN at mga protocol sa kanilang sarili. Kinakailangan din ang seguridad para sa pinagbabatayan ng imprastruktura ng server, ang mga web page at dashboard, ang mga aplikasyon ng VPN mismo, ang sistema ng pagbabayad, at ang mga database ng gumagamit. Upang maprotektahan nang maayos ang privacy ng gumagamit, kailangan nating protektahan ang lahat ng mga aspeto ng serbisyo mula sa kompromiso.


Sa pagbuo ng ProtonVPN, nakakuha kami ng kasanayan sa seguridad na nakuha namin mula sa pagpapatakbo ng pinakamalaking secure na serbisyo sa email sa buong mundo. Nakikipagtulungan din kami sa mga nag-aambag ng seguridad ng ProtonMail at mas malawak na komunidad sa pagpapalakas ng lahat ng aspeto ng ProtonVPN. Kamakailan lamang, nagtulungan kami ng matagal na tagapagtaguyod ng seguridad ng ProtonMail na si Mazin Ahmed upang makumpleto ang isang komprehensibong pagsusuri sa seguridad ng ProtonVPN at magdagdag ng karagdagang hardening.

Kami programa ng bug ng bug nagbibigay-daan sa amin upang mapalawak ang gawaing nagagawa na namin sa pang-araw-araw na batayan upang maprotektahan ang mga gumagamit ng ProtonVPN. Para sa kadahilanang ito, ngayon na opisyal na inilunsad ng ProtonVPN, ang isa sa mga unang bagay na ginagawa namin ay ang paglulunsad ng ProtonVPN Bug Bounty Program. Sa programang ito, inaanyayahan namin mga eksperto sa seguridad mula sa buong mundo upang subukang maghanap ng mga kahinaan sa loob ng ProtonVPN, at magbabayad kami ng mga gantimpala (bounties) para sa mga isyu sa seguridad na naiulat sa amin sa pamamagitan ng programang ito. Kung ikaw ay isang security researcher, maaari ka ring lumahok sa ProtonMail Bug Bounty Program.

ProtonVPN Bug Bounty Program

Mga Batas

Saklaw: Ang programa ay limitado sa mga server at sa web, desktop at mobile application na pinapatakbo ng ProtonVPN. Ang aming mga profile sa Facebook, Twitter, Linkin, Eventbrite, atbp, ay hindi kwalipikado. Ang mga kwalipikadong site ay kasama ang:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Tandaan: .ch at hindi .com]

Ang mga aplikasyon ng ProtonVPN sa Windows, MacOS, Linux, iOS at Android ay kasama rin sa programang ito.

Paghuhusga: Ang panel ng paghusga upang matukoy ang mga parangal ay binubuo ng mga developer ng ProtonVPN at ProtonMail na tinulungan ng isa o higit pang mga eksperto sa labas na bahagi ng aming pangkat ng seguridad. Sumasang-ayon ang mga kalahok sa programa na igalang ang panghuling desisyon na ginawa ng mga hukom.

May pananagutan na pagsisiwalat: Hiniling namin na maiulat sa amin ang lahat ng mga kahinaan [email protected]. Naniniwala kami na labag sa diwa ng programang ito upang ibunyag ang kamalian sa mga ikatlong partido para sa mga layunin maliban sa pag-aayos ng bug. Sumasang-ayon ang mga kalahok na huwag ibunyag ang mga bug na natagpuan hanggang matapos na naayos na at upang ayusin ang pagsisiwalat sa aming koponan sa pamamagitan ng aming mga tala sa paglabas upang maiwasan ang pagkalito.

Nakagagawang Pagsubok:  Mangyaring huwag mag-hack ng mga account ng gumagamit, mga sira na database, o tumagas na data na maaaring maging sensitibo. Pinapahina din namin ang kahinaan sa pagsubok na nagpapahina sa kalidad ng serbisyo para sa aming mga gumagamit. Kung may pagdududa, huwag mag-atubiling makipag-ugnay sa aming Security Team sa [email protected]

Pagsunod sa Mga Batas: Sa pamamagitan ng pakikilahok sa programang ito, sumasang-ayon ka na sumunod sa mga patakaran at kundisyon sa itaas. Ang lahat ng mga patakaran ay dapat sundin upang maging karapat-dapat sa mga parangal.

Kwalipikadong kahinaan

Ang anumang disenyo o pagpapatupad isyu na malaki nakakaapekto sa pagiging kumpidensyal o integridad ng data ng gumagamit ay malamang na nasa saklaw para sa programa. Kasama dito, ngunit hindi limitado sa:

Mga Aplikasyon sa Web

  • Scripts sa cross-site
  • Pagtatawad ng kahilingan sa cross-site
  • Mga script ng halo-halong
  • Mga pagkukulang sa pagpapatunay o pahintulot
  • Mga bug sa pagpapatupad ng server-side code
  • REST API kahinaan

Server

  • Hindi awtorisadong pag-access sa shell
  • Pagkakamit ng pribilehiyo
  • Ang pagpapatupad ng Remote code

Aplikasyon

  • Mga pagkukulang sa pagpapatunay o pahintulot
  • Paglabag sa seguridad ng lokal na data (nang walang pag-rooting)

Naniniwala kami na nagtatrabaho nang malapit sa mga mananaliksik ng seguridad at handang ibahagi ang mga teknikal na detalye tulad ng mga pagtutukoy ng API, source code, o mga detalye ng imprastraktura sa mga napiling mananaliksik na may layunin na mapabuti ang seguridad para sa lahat ng mga gumagamit ng ProtonMail. Mangyaring makipag-ugnay [email protected] para sa higit pang mga detalye.

Mga Pagpapabuti sa Kwalipikasyon

Minsan, ang mga bounties ay iginawad para sa mga mungkahi para sa pagpapabuti na hindi nahuhulog sa alinman sa mga kategorya sa itaas. Ito ay tinutukoy sa isang kaso sa pamamagitan ng kaso batay sa aming koponan. Kabilang dito ang mga bagay tulad ng:

  • Ang mga pagpapabuti ng pagsasaayos ng server
  • Mga pagsasaayos ng firewall
  • Pinahusay na mga proteksyon sa DoS / DDoS
  • Pagbubunyag ng landas / impormasyon

Mga kahinaan sa Non-Qualifying

  • Ang mga bahid na nakakaapekto sa mga browser ng petsa (paumanhin, hindi karapat-dapat ang mga isyu sa seguridad ng IE6)
  • Mga isyu sa seguridad sa labas ng saklaw ng modelo ng pagbabanta ng ProtonVPN
  • Pag-atake ng phishing o panlipunan sa inhinyero
  • Mga bug na nangangailangan ng labis na hindi malamang na pakikipag-ugnayan ng gumagamit
  • Mga bug ng WordPress (ngunit mangyaring iulat ang mga iyon sa WordPress)
  • Wala sa petsa ng software – Para sa iba’t ibang mga kadahilanan, hindi namin palaging pinapatakbo ang pinakabagong mga bersyon ng software, ngunit tumatakbo kami ng software na ganap na naka-patched
  • Mga bug ng software sa OpenVPN o IKEv2 (ngunit mangyaring iulat ang mga ito sa kanilang mga may-akda)

Mga Halaga ng Gantimpala

Ang laki ng karunungan na binabayaran namin ay tinutukoy sa isang kaso sa pamamagitan ng kaso batay at higit sa lahat ay depende sa kalubhaan ng isyu. Upang iginawad ng isang malaking halaga, karaniwang kailangan mong maging ang unang taong nag-ulat ng isang isyu, bagaman kung minsan ay ginawa ang mga pagbubukod. Ang mabibigat na mga alituntunin na mahal ay ibinibigay sa ibaba:

Mga menor de edad na kahinaan sa server at app na hindi ikompromiso ang data ng gumagamit o privacy: $ 50
Mga karapatang maaaring humantong sa katiwalian ng data: $ 200
Mga Vulnerability na maaaring humantong sa pagsisiwalat ng data ng gumagamit o panganib sa privacy ng gumagamit: $ 1,000+
Pinakamataas na halaga: $ 10,000

Mga Alituntunin sa Pag-uulat

Mangyaring mag-ulat ng mga isyu sa [email protected]. Ang mga isyu ay dapat iulat nang may malinaw na mga tagubilin sa kung paano kopyahin ang isyu at / o patunay ng konsepto.

Pinakamahusay na Regards,
Ang koponan ng Proton Technologies

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me