Proteggere ProtonVPN

Come con ProtonMail, abbiamo creato ProtonVPN con un’enfasi sulla sicurezza. Oggi lanciamo un programma Bug Bounty per migliorare ulteriormente la sicurezza di ProtonVPN.

Nel funzionamento di un servizio VPN, la sicurezza è richiesta non solo per le connessioni VPN e i protocolli stessi. La sicurezza è necessaria anche per l’infrastruttura del server sottostante, le pagine Web e i dashboard, le applicazioni VPN stesse, il sistema di pagamento e anche i database degli utenti. Per proteggere adeguatamente la privacy degli utenti, dobbiamo proteggere tutti gli aspetti del servizio da compromessi.


Nel costruire ProtonVPN, abbiamo attinto all’esperienza di sicurezza che abbiamo acquisito gestendo il più grande servizio di posta elettronica sicuro al mondo. Abbiamo anche collaborato con i collaboratori della sicurezza di ProtonMail e la comunità più ampia per rafforzare tutti gli aspetti di ProtonVPN. Di recente, abbiamo collaborato con Mazin Ahmed, collaboratore della sicurezza di ProtonMail per molto tempo, per completare un audit di sicurezza completo di ProtonVPN e aggiungere ulteriore protezione.

Nostro programma di bug bounty ci consente di estendere il lavoro che già facciamo quotidianamente per proteggere gli utenti di ProtonVPN. Per questo motivo, ora che ProtonVPN è stato lanciato ufficialmente, una delle prime cose che stiamo facendo è il lancio del programma di bug bounty ProtonVPN. Con questo programma, stiamo invitando esperti di sicurezza di tutto il mondo per cercare di trovare punti deboli all’interno di ProtonVPN, e pagheremo premi (taglie) per problemi di sicurezza che ci vengono segnalati attraverso questo programma. Se sei un ricercatore di sicurezza, puoi anche partecipare al programma Bounty Bug di ProtonMail.

Programma di bug bounty di ProtonVPN

Regole

Scopo: Il programma è limitato ai server e alle applicazioni Web, desktop e mobili gestite da ProtonVPN. I nostri profili su Facebook, Twitter, Linkedin, Eventbrite, ecc. Non sono idonei. I siti idonei includono:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Nota: .ch e non .com]

Anche le applicazioni ProtonVPN su Windows, MacOS, Linux, iOS e Android sono incluse in questo programma.

A giudicare: La giuria per determinare i premi è costituita dagli sviluppatori ProtonVPN e ProtonMail assistiti da uno o più esperti esterni che fanno parte del nostro gruppo di sicurezza. I partecipanti al programma accettano di rispettare la decisione finale presa dai giudici.

Divulgazione responsabile: Chiediamo che tutte le vulnerabilità ci vengano segnalate all’indirizzo [email protected]. Riteniamo che sia contrario allo spirito di questo programma divulgare il difetto a terzi per scopi diversi dalla risoluzione effettiva del bug. I partecipanti si impegnano a non rivelare bug trovati fino a quando non sono stati corretti e coordinare la divulgazione con il nostro team attraverso le nostre note di rilascio per evitare confusione.

Test responsabile:  Si prega di non hackerare account utente, database corrotti o perdite di dati che potrebbero essere sensibili. Scoraggiamo anche i test di vulnerabilità che degradano la qualità del servizio per i nostri utenti. In caso di dubbi, non esitare a contattare il nostro team di sicurezza all’indirizzo [email protected]

Rispetto delle regole: Partecipando a questo programma, l’utente accetta di aderire alle regole e condizioni di cui sopra. Tutte le regole devono essere seguite per essere ammissibili ai premi.

Vulnerabilità qualificate

Qualsiasi problema di progettazione o implementazione che influisce in modo sostanziale sulla riservatezza o sull’integrità dei dati degli utenti sarà probabilmente nell’ambito del programma. Questo include, ma non è limitato a:

Applicazioni Web

  • Cross Site Scripting
  • Falsificazione di richieste tra siti
  • Script a contenuto misto
  • Difetti di autenticazione o autorizzazione
  • Bug di esecuzione del codice lato server
  • Vulnerabilità dell’API REST

server

  • Accesso alla shell non autorizzato
  • Aumento dei privilegi
  • Esecuzione di codice remoto

applicazioni

  • Difetti di autenticazione o autorizzazione
  • Violazione della sicurezza dei dati locali (senza root)

Crediamo nel lavorare a stretto contatto con i ricercatori della sicurezza e siamo disposti a condividere dettagli tecnici come specifiche API, codice sorgente o dettagli dell’infrastruttura con ricercatori selezionati con l’obiettivo di migliorare la sicurezza per tutti gli utenti ProtonMail. Si prega di contattare [email protected] per ulteriori dettagli.

Miglioramenti qualificanti

A volte, i premi vengono assegnati per suggerimenti di miglioramento che non rientrano in nessuna delle categorie di cui sopra. Questo viene determinato caso per caso dal nostro team. Questi includono cose come:

  • Miglioramenti alla configurazione del server
  • Configurazioni del firewall
  • Miglioramento delle garanzie DoS / DDoS
  • Divulgazione di percorso / informazioni

Vulnerabilità non qualificanti

  • Difetti che incidono sui browser obsoleti (scusate, i problemi di sicurezza di IE6 non sono validi)
  • Problemi di sicurezza al di fuori dell’ambito del modello di minaccia di ProtonVPN
  • Attacchi di phishing o ingegneria sociale
  • Bug che richiedono interazioni dell’utente estremamente improbabili
  • Bug di WordPress (ma per favore segnalali a WordPress)
  • Software obsoleto – Per una serie di motivi, non eseguiamo sempre le versioni più recenti del software, ma eseguiamo software completamente patchato
  • Bug del software in OpenVPN o IKEv2 (ma per favore segnalali ai loro autori)

Importi premio

La dimensione della taglia che paghiamo è determinata caso per caso e dipende in gran parte dalla gravità del problema. Per ottenere una taglia, di solito devi esserlo la prima persona a segnalare un problema, sebbene a volte vengano fatte eccezioni. Di seguito sono riportate le linee guida relative alla generosità:

Minori vulnerabilità di server e app che non compromettono i dati dell’utente o la privacy: $ 50
Vulnerabilità che possono portare alla corruzione dei dati: $ 200
Vulnerabilità che possono comportare la divulgazione di dati degli utenti o compromettere la privacy degli utenti: $ 1.000+
Massima ricompensa: $ 10.000

Linee guida per la segnalazione

Si prega di segnalare problemi a [email protected]. I problemi devono essere segnalati con chiare istruzioni su come riprodurre il problema e / o la prova del concetto.

I migliori saluti,
Il team di Proton Technologies

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map