ProtonVPN beveilig hou

Soos met ProtonMail, het ons ProtonVPN gebou met die klem op veiligheid. Vandag begin ons ‘n Bug Bounty-program om ProtonVPN se veiligheid verder te verbeter.

By die bestuur van ‘n VPN-diens is sekuriteit nie net nodig vir die VPN-verbindings en protokolle nie. Sekuriteit is ook nodig vir die onderliggende bedienersinfrastruktuur, die webblaaie en dashboards, die VPN-toepassings self, die betaalstelsel en ook die gebruikersdatabasisse. Om die privaatheid van gebruikers behoorlik te beskerm, moet ons alle aspekte van die diens teen kompromie beskerm.


In die bou van ProtonVPN, gebruik ons ​​die veiligheidskundigheid wat ons opgedoen het met die bestuur van die grootste veilige e-posdiens in die wêreld. Ons werk ook saam met ProtonMail-sekuriteitsbydraers en die breër gemeenskap om alle aspekte van ProtonVPN te versterk. Onlangs het ons saam met Mazin Ahmed, ‘n jarelange ProtonMail-sekuriteitsbydraer, saamgewerk om ‘n omvattende veiligheidsoudit van ProtonVPN te voltooi en ekstra verharding te gee.

ons bug bounty program stel ons in staat om die werk wat ons reeds doen daagliks uit te brei om ProtonVPN-gebruikers te beskerm. Om hierdie rede, noudat ProtonVPN amptelik van stapel gestuur is, is een van die eerste dinge wat ons doen, die ProtonVPN Bug Bounty-program bekendgestel. Met hierdie program nooi ons u uit sekuriteitskenners van regoor die wêreld om swakhede binne ProtonVPN te probeer opspoor, en ons sal belonings (gelde) betaal vir veiligheidskwessies wat deur hierdie program aan ons gerapporteer word. As u ‘n veiligheidsnavorser is, kan u ook aan die ProtonMail Bug Bounty-program deelneem.

ProtonVPN bug-beloningsprogram

reëls

omvang: Die program is beperk tot die bedieners en die web-, rekenaar- en mobiele toepassings wat deur ProtonVPN bestuur word. Ons profiele op Facebook, Twitter, Linkedin, Eventbrite, ens. Kwalifiseer nie. Kwalifiserende werwe sluit in:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [nota: .ch en nie. com]

Die ProtonVPN-toepassings op Windows, MacOS, Linux, iOS en Android is ook by hierdie program ingesluit.

Te oordeel: Die beoordelaarspaneel om toekennings te bepaal bestaan ​​uit ProtonVPN- en ProtonMail-ontwikkelaars wat bygestaan ​​word deur een of meer kundiges buite wat deel is van ons veiligheidsgroep. Programdeelnemers stem ooreen om die finale beslissing wat deur die beoordelaars geneem is, te respekteer.

Verantwoordelike openbaarmaking: Ons versoek dat alle kwesbaarhede by ons aangemeld word by [email protected]. Ons glo dat dit teen die gees van hierdie program is om die fout aan derde partye bekend te maak vir ander doeleindes as om die fout reg te stel. Deelnemers stem in om nie foute wat gevind is, bekend te maak voordat hulle opgelos is nie en om onthulling met ons span te koördineer deur middel van ons vrystellingsnotas om verwarring te voorkom.

Verantwoordelike toetsing:  Moet asseblief nie gebruikersrekeninge, korrupte databasisse, of data wat sensitief is, kap nie. Ons ontmoedig ook kwesbaarheidstoetse wat die kwaliteit van die diens vir ons gebruikers benadeel. As u twyfel, kontak ons ​​Veiligheidspan by [email protected]m.

Voldoening aan reëls: Deur aan hierdie program deel te neem, stem u in om die bogenoemde reëls en voorwaardes na te kom. Alle reëls moet gevolg word om in aanmerking te kom vir toekennings.

Kwalifiserende kwesbaarhede

Enige ontwerp- of implementeringsprobleem wat die vertroulikheid of integriteit van gebruikersdata wesenlik beïnvloed, is waarskynlik binne die omvang van die program. Dit sluit in, maar is nie beperk tot:

Webtoepassings

  • Kruiswêreldskripsies
  • Vervalsing op verskillende terreine
  • Gemengde inhoud-skrifte
  • Gebreke by verifikasie of magtiging
  • Bugs vir uitvoering van kode aan die bediener
  • REST API-kwesbaarhede

bediener

  • Ongemagtigde dop-toegang
  • Eskalasie van voorregte
  • Uitvoer van eksterne kodes

aansoeke

  • Gebreke by verifikasie of magtiging
  • Plaaslike inbreuk op die beveiliging van data (sonder wortels)

Ons glo daaraan om nou saam met veiligheidsnavorsers te werk en is bereid om tegniese besonderhede soos API-spesifikasies, bronkode of infrastruktuurbesonderhede met geselekteerde navorsers te deel met die doel om veiligheid vir alle ProtonMail-gebruikers te verbeter. Kontak asseblief [email protected] vir meer inligting.

Kwalifiserende verbeterings

Soms word toekennings toegeken vir voorstelle vir verbetering wat nie onder een van die bogenoemde kategorieë val nie. Ons span bepaal dit van geval tot geval. Dit sluit dinge in soos:

  • Verbetering van bedieneropstelling
  • Firewall-konfigurasies
  • Verbeterde DoS / DDoS-voorsorgmaatreëls
  • Pad / inligting-openbaarmaking

Nie-kwalifiserende kwesbaarhede

  • Gebreke wat verouderde blaaiers beïnvloed (jammer, IE6-veiligheidskwessies kwalifiseer nie)
  • Veiligheidskwessies buite die bestek van ProtonVPN se bedreigingsmodel
  • Aanvissings of sosiale ingenieurswese
  • Foute wat uiters onwaarskynlike gebruikersinteraksies benodig
  • WordPress-foute (maar meld dit asseblief aan WordPress)
  • Verouderde sagteware – om verskillende redes gebruik ons ​​nie altyd die nuutste sagtewarweergawes nie, maar ons bestuur sagteware wat volledig gelap is
  • Sagtewarefoute in OpenVPN of IKEv2 (maar rapporteer dit asseblief aan hul outeurs)

Beloon bedrae

Die grootte van die bedrag wat ons betaal, word van geval tot geval bepaal en hang grootliks af van die erns van die probleem. Om ‘n bedrag te ontvang, moet u dit gewoonlik doen die eerste persoon wat ‘n probleem aanmeld, hoewel daar soms uitsonderings gemaak word. Riglyn-riglyne word hieronder gegee:

Geringe bediener- en app-kwesbaarhede wat nie gebruikersdata of privaatheid in die gedrang bring nie: 50 dollar
Kwesbaarheid wat kan lei tot datakorrupsie: $ 200
Kwetsbaarhede wat kan lei tot die bekendmaking van gebruikersdata of die gebruiker se privaatheid in gevaar kan stel: $ 1.000+
Maksimum bedrag: $ 10.000

Riglyne vir verslaggewing

Meld asseblief probleme aan [email protected]. Kwessies moet gerapporteer word met duidelike instruksies oor hoe om die probleem en / of bewys van konsep weer te gee.

Beste wense,
Die Proton Technologies-span

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me