Mbajtja e sigurt e ProtonVPN

Ashtu si me ProtonMail, ne kemi ndërtuar ProtonVPN me theks në sigurinë. Sot, ne jemi duke filluar një Program Bounty Bug për të forcuar më tej sigurinë e ProtonVPN.

Në funksionimin e një shërbimi VPN, siguria kërkohet jo vetëm për lidhjet VPN dhe vetë protokollet. Siguria është gjithashtu e nevojshme për infrastrukturën themelore të serverit, faqet në internet dhe tabelat, vetë aplikacionet VPN, sistemin e pagesave dhe gjithashtu bazat e të dhënave të përdoruesve. Për të mbrojtur si duhet privatësinë e përdoruesit, duhet të mbrojmë të gjitha aspektet e shërbimit nga kompromisi.


Në ndërtimin e ProtonVPN, ne kemi përfituar nga ekspertiza e sigurisë që kemi fituar nga drejtimi i shërbimit më të madh të sigurtë të botës. Ne kemi punuar gjithashtu së bashku me kontribuesit e sigurisë ProtonMail dhe komunitetin e gjerë për forcimin e të gjitha aspekteve të ProtonVPN. Kohët e fundit, ne kemi punuar së bashku me një kohë të gjatë kontribuesin e sigurisë ProtonMail Mazin Ahmed për të kryer një kontroll gjithëpërfshirës të sigurisë së ProtonVPN dhe të shtojmë forcim shtesë.

tonë programi i bujarisë së gabimeve na lejon të zgjasim punën që ne tashmë bëjmë çdo ditë për të mbrojtur përdoruesit e ProtonVPN. Për këtë arsye, tani që ProtonVPN është nisur zyrtarisht, një nga gjërat e para që ne po bëjmë është nisja e Programit të ProtonVPN Bug Bounty. Me këtë program, ne jemi duke e ftuar ekspertë të sigurisë nga e gjithë bota të përpiqen të gjejnë dobësi brenda ProtonVPN, dhe ne do të paguajmë shpërblime (dhurata) për çështje të sigurisë të cilat na raportohen përmes këtij programi. Nëse jeni studiues i sigurisë, ju gjithashtu mund të merrni pjesë në Programin e Shpëtimeve të ProtonMail Bug.

Programi i Mbrojtjes së Bug ProtonVPN

Rregullat

Fushëveprimi: Programi është i kufizuar në serverat dhe programet në internet, desktop dhe celular të drejtuar nga ProtonVPN. Profilet tona në Facebook, Twitter, Linkedin, Eventbrite, etj., Nuk kualifikohen. Faqet kualifikuese përfshijnë:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [shënim: .ch dhe jo .com]

Aplikimet ProtonVPN në Windows, MacOS, Linux, iOS dhe Android përfshihen gjithashtu në këtë program.

Duke gjykuar: Trupi gjykues për të përcaktuar çmimet përbëhet nga zhvillues të ProtonVPN dhe ProtonMail të ndihmuar nga një ose më shumë ekspertë të jashtëm të cilët janë pjesë e grupit tonë të sigurisë. Pjesëmarrësit e programit pajtohen të respektojnë vendimin përfundimtar të marrë nga gjyqtarët.

Publikimi i Përgjegjshëm: Ne kërkojmë që të gjitha dobësitë të raportohen tek ne në [email protected]. Ne besojmë se është kundër frymës së këtij programi për të zbuluar të metën tek palët e treta për qëllime të tjera se sa rregullimi i gabuar. Pjesëmarrësit pajtohen që të mos zbulojnë gabimet e gjetura deri pasi ato të jenë rregulluar dhe për të koordinuar zbulimin me ekipin tonë përmes shënimeve tona lëshuese për të shmangur konfuzionin.

Testim i përgjegjshëm:  Ju lutemi mos hakni llogaritë e përdoruesve, bazat e të dhënave të korruptuara ose të dhënat që mund të jenë të ndjeshme. Ne gjithashtu dekurajojmë testimin e cenueshmërisë që degradon cilësinë e shërbimit për përdoruesit tanë. Nëse dyshoni, mos ngurroni të kontaktoni Ekipin tonë të Sigurisë në [email protected]

Respektimi i rregullave: Duke marrë pjesë në këtë program, ju pranoni t’i përmbaheni rregullave dhe kushteve të mësipërme. Të gjitha rregullat duhet të ndiqen që të jenë të pranueshme për çmime.

Dobësitë kualifikuese

Anydo çështje e projektimit ose e zbatimit që ndikon në mënyrë thelbësore në konfidencialitetin ose integritetin e të dhënave të përdoruesit ka të ngjarë të jetë në hapësirë ​​për programin. Kjo përfshin, por nuk kufizohet vetëm në:

Aplikime në internet

  • Skriptimi ndër-faqesh
  • Falsifikim i kërkesës ndër-site
  • Skriptet me përmbajtje të përzier
  • Mangësitë e autentifikimit ose autorizimit
  • Gabimet e ekzekutimit të kodit nga serveri
  • Dobësitë e API REST

server

  • Akses i pa autorizuar i guaskës
  • Shkallëzimi i privilegjit
  • Ekzekutimi i kodit në distancë

Aplikimet

  • Mangësitë e autentifikimit ose autorizimit
  • Shkelje e sigurisë lokale të të dhënave (pa rrënjë)

Ne besojmë të punojmë ngushtë me studiuesit e sigurisë dhe jemi të gatshëm të ndajmë detaje teknike, siç janë specifikimet e API, kodin burim, ose detajet e infrastrukturës me studiues të zgjedhur me qëllim të përmirësimit të sigurisë për të gjithë përdoruesit e ProtonMail. Ju lutem kontaktoni [email protected] për më shumë detaje.

Përmirësimet Kualifikuese

Ndonjëherë, dhuratat jepen për sugjerime për përmirësim, të cilat nuk bëjnë pjesë në ndonjë nga kategoritë e mësipërme. Kjo përcaktohet rast pas rasti nga ekipi ynë. Këto përfshijnë gjëra të tilla si:

  • Përmirësimet e konfigurimit të serverit
  • Konfigurimet e zjarrit
  • Mbrojtja e përmirësuar e DoS / DDoS
  • Rruga / Shpalosja e informacionit

Dobësitë jo-kualifikuese

  • Të metat që ndikojnë në shfletuesit e datës (më falni, çështjet e sigurisë së IE6 nuk kualifikohen)
  • Ështjet e sigurisë jashtë fushëveprimit të modelit të kërcënimit të ProtonVPN
  • Sulmet e phishing ose inxhinierisë sociale
  • Gabime që kërkojnë ndërveprime jashtëzakonisht të pamundura të përdoruesit
  • Gabimet në WordPress (por ju lutemi raportoni ato në WordPress)
  • Softueri i vjetëruar – Për një larmi arsyesh, ne jo gjithmonë ekzekutojmë versionet më të fundit të softuerit, por bëjmë softver që ekzekutohet plotësisht
  • Gabimet e softuerit në OpenVPN ose IKEv2 (por ju lutemi raportojini atyre autorëve të tyre)

Shuma e shpërblimit

Madhësia e bujarisë që paguajmë përcaktohet rast pas rasti dhe në masë të madhe varet nga ashpërsia e çështjes. Për t’u dhënë një dhuratë, zakonisht duhet të jesh personi i parë që raporton një çështje, megjithëse ndonjëherë bëhen përjashtime. Udhëzimet e përafërta të dhuratave janë dhënë më poshtë:

Dobësitë e vogla të serverit dhe aplikacionit që nuk kompromentojnë të dhënat e përdoruesit ose privatësinë: 50 dollarë
Kënaqësitë që mund të çojnë në korruptim të të dhënave: 200 dollarë
Dobësitë që mund të çojnë në zbulimin e të dhënave të përdoruesit ose të rrezikojnë privatësinë e përdoruesit: $ 1,000+
Shpërblimi maksimal: 10,000 dollarë

Udhëzimet e raportimit

Ju lutemi raportoni çështje [email protected]. Ështjet duhet të raportohen me udhëzime të qarta se si të riprodhoni çështjen dhe / ose prova të konceptit.

Përshëndetje,
Ekipi i Teknologjive Proton

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map