ProtonVPN sicher halten

Wie bei ProtonMail haben wir ProtonVPN mit Schwerpunkt auf Sicherheit erstellt. Heute starten wir ein Bug Bounty-Programm, um die Sicherheit von ProtonVPN weiter zu verbessern.

Beim Betrieb eines VPN-Dienstes ist Sicherheit nicht nur für die VPN-Verbindungen und -Protokolle selbst erforderlich. Sicherheit ist auch für die zugrunde liegende Serverinfrastruktur, die Webseiten und Dashboards, die VPN-Anwendungen selbst, das Zahlungssystem und auch die Benutzerdatenbanken erforderlich. Um die Privatsphäre der Benutzer angemessen zu schützen, müssen wir alle Aspekte des Dienstes vor Kompromissen schützen.


Beim Aufbau von ProtonVPN haben wir auf die Sicherheitskompetenz zurückgegriffen, die wir durch den Betrieb des weltweit größten sicheren E-Mail-Dienstes gewonnen haben. Wir haben auch mit ProtonMail-Sicherheitsmitarbeitern und der breiteren Community zusammengearbeitet, um alle Aspekte von ProtonVPN zu stärken. Vor kurzem haben wir mit dem langjährigen ProtonMail-Sicherheitsmitarbeiter Mazin Ahmed zusammengearbeitet, um ein umfassendes Sicherheitsaudit von ProtonVPN durchzuführen und zusätzliche Härtung hinzuzufügen.

Unsere Bug Bounty Programm ermöglicht es uns, die Arbeit, die wir bereits täglich leisten, zu erweitern, um ProtonVPN-Benutzer zu schützen. Aus diesem Grund starten wir nach dem offiziellen Start von ProtonVPN als erstes das ProtonVPN Bug Bounty-Programm. Mit diesem Programm laden wir ein Sicherheitsexperten aus der ganzen Welt versuchen, Schwachstellen in ProtonVPN zu finden, und wir werden Belohnungen (Kopfgelder) für Sicherheitsprobleme zahlen, die uns über dieses Programm gemeldet werden. Wenn Sie ein Sicherheitsforscher sind, können Sie auch am ProtonMail Bug Bounty-Programm teilnehmen.

ProtonVPN Bug Bounty Programm

Regeln

Umfang: Das Programm ist auf die von ProtonVPN ausgeführten Server und Web-, Desktop- und Mobilanwendungen beschränkt. Unsere Profile auf Facebook, Twitter, Linkedin, Eventbrite usw. sind nicht qualifiziert. Qualifizierende Websites umfassen:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Hinweis: .ch und nicht .com]

Die ProtonVPN-Anwendungen unter Windows, MacOS, Linux, iOS und Android sind ebenfalls in diesem Programm enthalten.

Beurteilung: Die Jury zur Bestimmung der Auszeichnungen besteht aus ProtonVPN- und ProtonMail-Entwicklern, die von einem oder mehreren externen Experten unterstützt werden, die Teil unserer Sicherheitsgruppe sind. Die Programmteilnehmer erklären sich damit einverstanden, die endgültige Entscheidung der Richter zu respektieren.

Verantwortliche Offenlegung: Wir bitten Sie, alle Schwachstellen unter zu melden [email protected]. Wir glauben, dass es gegen den Geist dieses Programms verstößt, den Fehler Dritten zu anderen Zwecken als zur tatsächlichen Behebung des Fehlers offenzulegen. Die Teilnehmer erklären sich damit einverstanden, gefundene Fehler erst nach ihrer Behebung offenzulegen und die Offenlegung mit unserem Team über unsere Versionshinweise zu koordinieren, um Verwirrung zu vermeiden.

Verantwortungsbewusstes Testen:  Bitte hacken Sie keine Benutzerkonten, beschädigten Datenbanken oder Daten, die möglicherweise vertraulich sind. Wir raten auch von Schwachstellentests ab, die die Servicequalität für unsere Benutzer beeinträchtigen. Im Zweifelsfall wenden Sie sich bitte an unser Sicherheitsteam unter [email protected]

Einhaltung der Regeln: Durch die Teilnahme an diesem Programm erklären Sie sich mit den oben genannten Regeln und Bedingungen einverstanden. Alle Regeln müssen befolgt werden, um sich für Auszeichnungen zu qualifizieren.

Qualifizierende Schwachstellen

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten erheblich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Dies beinhaltet, ist aber nicht beschränkt auf:

Web Applikationen

  • Cross-Site-Scripting
  • Standortübergreifende Fälschung von Anfragen
  • Skripte mit gemischtem Inhalt
  • Authentifizierungs- oder Autorisierungsfehler
  • Fehler bei der Ausführung des serverseitigen Codes
  • REST-API-Schwachstellen

Server

  • Nicht autorisierter Shell-Zugriff
  • Eskalation von Berechtigungen
  • Remote-Codeausführung

Anwendungen

  • Authentifizierungs- oder Autorisierungsfehler
  • Verletzung der lokalen Datensicherheit (ohne Rooting)

Wir glauben an eine enge Zusammenarbeit mit Sicherheitsforschern und sind bereit, technische Details wie API-Spezifikationen, Quellcode oder Infrastrukturdetails mit ausgewählten Forschern zu teilen, um die Sicherheit für alle ProtonMail-Benutzer zu verbessern. Kontaktieren Sie bitte [email protected] für mehr Details.

Qualifizierende Verbesserungen

Manchmal werden Kopfgelder für Verbesserungsvorschläge vergeben, die nicht in eine der oben genannten Kategorien fallen. Dies wird von Fall zu Fall von unserem Team festgelegt. Dazu gehören Dinge wie:

  • Verbesserungen der Serverkonfiguration
  • Firewall-Konfigurationen
  • Verbesserte DoS / DDoS-Sicherheitsmaßnahmen
  • Offenlegung von Pfaden / Informationen

Nicht qualifizierende Sicherheitslücken

  • Fehler, die sich auf veraltete Browser auswirken (IE6-Sicherheitsprobleme sind leider nicht qualifiziert)
  • Sicherheitsprobleme außerhalb des Anwendungsbereichs des ProtonVPN-Bedrohungsmodells
  • Phishing- oder Social-Engineering-Angriffe
  • Fehler, die äußerst unwahrscheinliche Benutzerinteraktionen erfordern
  • WordPress-Fehler (aber bitte melden Sie diese an WordPress)
  • Veraltete Software – Aus verschiedenen Gründen führen wir nicht immer die neuesten Softwareversionen aus, sondern Software, die vollständig gepatcht ist
  • Softwarefehler in OpenVPN oder IKEv2 (aber bitte melden Sie sie ihren Autoren)

Belohnungsbeträge

Die Höhe des von uns gezahlten Kopfgeldes wird von Fall zu Fall festgelegt und hängt weitgehend von der Schwere des Problems ab. Um ein Kopfgeld zu erhalten, müssen Sie normalerweise sein die erste Person, die ein Problem meldet, obwohl manchmal Ausnahmen gemacht werden. Grobe Kopfgeldrichtlinien finden Sie unten:

Kleinere Server- und App-Schwachstellen, die die Benutzerdaten oder den Datenschutz nicht beeinträchtigen: 50 US-Dollar
Sicherheitslücken, die zu Datenkorruption führen können: 200 US-Dollar
Sicherheitslücken, die zur Offenlegung von Benutzerdaten führen oder die Privatsphäre der Benutzer gefährden können: 1.000 US-Dollar+
Maximales Kopfgeld: 10.000 US-Dollar

Richtlinien für die Berichterstattung

Bitte melden Sie Probleme an [email protected]. Probleme sollten mit klaren Anweisungen zur Reproduktion des Problems und / oder Proof of Concept gemeldet werden.

Freundliche Grüße,
Das Proton Technologies Team

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map