Čuvanje ProtonVPN-a sigurno

Kao i kod ProtonMaila, mi smo izgradili ProtonVPN s naglaskom na sigurnosti. Danas pokrećemo program Bug Bounty kako bismo dodatno poboljšali sigurnost ProtonVPN-a.

Pri radu s VPN uslugom, potrebna je sigurnost ne samo za same VPN veze i protokole. Sigurnost je također potrebna za osnovnu infrastrukturu poslužitelja, web stranice i nadzorne ploče, same VPN aplikacije, platni sustav i također korisničke baze podataka. Da bismo ispravno zaštitili privatnost korisnika, moramo zaštititi sve aspekte usluge od kompromisa.


U izgradnji ProtonVPN-a oslanjali smo se na sigurnosnu stručnost koju smo stekli upravljanjem najveće sigurne usluge e-pošte na svijetu. Također surađujemo s pružateljima usluga ProtonMail sigurnosti i široj zajednici na jačanju svih aspekata ProtonVPN-a. Nedavno smo surađivali s dugogodišnjim suradnikom ProtonMail-ove sigurnosti Mazin Ahmedom kako bismo dovršili sveobuhvatnu sigurnosnu reviziju ProtonVPN-a i dodali dodatno otvrdnjavanje.

Naše bug bounty program omogućava nam svakodnevno širenje posla koji već radimo na zaštiti ProtonVPN korisnika. Iz tog razloga, sada kada je ProtonVPN službeno predstavljen, jedna od prvih stvari koju radimo je pokretanje ProtonVPN programa za obradu grešaka. Uz ovaj program, pozivamo sigurnosni stručnjaci iz cijelog svijeta da pokušaju pronaći slabosti unutar ProtonVPN-a, i isplatit ćemo nagrade (preljube) za sigurnosna pitanja koja su nam prijavljena kroz ovaj program. Ako ste istraživač sigurnosti, možete sudjelovati i u programu ProtonMail Bug Bounty.

Program za obradu bugova ProtonVPN

pravila

opseg: Program je ograničen na poslužitelje i web, desktop i mobilne aplikacije koje pokreće ProtonVPN. Naši profili na Facebooku, Twitteru, Linkedinu, Eventbritu itd. Ne ispunjavaju uvjete. Kvalificirajuća web mjesta uključuju:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Bilješka: .ch, a ne .com]

ProtonVPN aplikacije na Windows, MacOS, Linux, iOS i Android također su uključene u ovaj program.

Sudeći: Ocjenjivački sud za određivanje nagrada sastoji se od ProtonVPN i ProtonMail programera uz pomoć jednog ili više vanjskih stručnjaka koji su dio naše sigurnosne skupine. Sudionici programa pristaju poštivati ​​konačnu odluku koju su donijeli suci.

Odgovorno objavljivanje: Tražimo da nam se prijave sve ranjivosti na [email protected]. Vjerujemo da je protiv duha ovog programa otkrivanje nedostataka trećim stranama u druge svrhe, a ne samo ispravljanje greške. Učesnici se slažu da neće otkriti pronađene bugove tek nakon što su ispravljeni te koordinirati otkrivanje s našim timom putem naputaka za izdanje radi izbjegavanja nejasnoća.

Odgovorno testiranje:  Nemojte hakirati korisničke račune, korumpirane baze podataka i ne cureti podatke koji mogu biti osjetljivi. Također onemogućujemo testiranje ranjivosti koje pogoršava kvalitetu usluge za naše korisnike. Ako imate dvojbe, slobodno se obratite našem sigurnosnom timu na [email protected]

Pridržavanje pravila: Sudjelovanjem u ovom programu pristajete se pridržavati gore navedenih pravila i uvjeta. Sva pravila moraju se pridržavati kako bi bili prihvatljivi za nagrade.

Kvalificiranje ranjivosti

Bilo koji problem dizajna ili implementacije koji bitno utječe na povjerljivost ili integritet korisničkih podataka vjerojatno će biti u programu. To uključuje, ali nije ograničeno na:

Web aplikacije

  • Skripta na više mjesta
  • Krivotvorenje zahtjeva na više stranica
  • Skripte miješanog sadržaja
  • Nedostatci autentifikacije ili autorizacije
  • Greške u izvršavanju koda na strani poslužitelja
  • REST API ranjivosti

server

  • Neovlašteni pristup školjci
  • Eskalacija privilegija
  • Daljinsko izvršavanje koda

Prijave

  • Nedostatci autentifikacije ili autorizacije
  • Kršenje sigurnosti lokalnih podataka (bez ukorijenjenja)

Vjerujemo da usko surađujemo s istraživačima sigurnosti i voljni smo dijeliti tehničke detalje kao što su specifikacije API-ja, izvorni kod ili pojedinosti o infrastrukturi s odabranim istraživačima s ciljem poboljšanja sigurnosti za sve korisnike ProtonMaila. Molimo kontaktirajte [email protected] za više detalja.

Kvalificiranje poboljšanja

Ponekad se dodjeljuju nagrade za prijedloge za poboljšanje koji ne spadaju u nijednu od gore navedenih kategorija. To utvrđuje od slučaja do slučaja naš tim. To uključuje stvari poput:

  • Poboljšanja konfiguracije poslužitelja
  • Konfiguracije vatrozida
  • Poboljšane DoS / DDoS zaštitne mjere
  • Put / objavljivanje informacija

Nekvalificirajuće ranjivosti

  • Nedostaci koji utječu na zastarele preglednike (izvinite, sigurnosni problemi IE6 ne ispunjavaju uvjete)
  • Sigurnosna pitanja izvan opsega modela prijetnji ProtonVPN-a
  • Lažni napadi ili napadi na društveni inženjering
  • Greške koje zahtijevaju vrlo malo vjerojatne interakcije s korisnicima
  • WordPress greške (ali prijavite ih WordPressu)
  • Zastarjeli softver – Iz različitih razloga ne uvijek pokrećemo najnovije verzije softvera, ali radimo softver koji je u potpunosti zakrpljen.
  • Softverske greške u OpenVPN ili IKEv2 (ali prijavite ih svojim autorima)

Iznosi nagrade

Veličina iznosa koji isplaćujemo određuje se ovisno o slučaju i u velikoj mjeri ovisi o ozbiljnosti emisije. Da biste dobili nagradu, obično morate biti prva osoba koja je prijavila problem, iako se ponekad prave iznimke. U nastavku su navedene smjernice za grube nagrade:

Manji ranjivosti poslužitelja i aplikacija koji ne ugrožavaju korisničke podatke ili privatnost: 50 USD
Ranjivosti koje mogu dovesti do korupcije podataka: 200 USD
Ranjivosti koje mogu dovesti do otkrivanja korisničkih podataka ili ugroziti privatnost korisnika: 1.000 dolara+
Maksimalna dobit: 10.000 USD

Smjernice za izvještavanje

Prijavite probleme na [email protected]. Problemi se trebaju izvještavati s jasnim uputama kako reproducirati problem i / ili dokaz koncepta.

Lijepi Pozdrav,
Tim tvrtke Proton Technologies

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me