At holde ProtonVPN sikkert

Som med ProtonMail har vi bygget ProtonVPN med vægt på sikkerhed. I dag lancerer vi et Bug Bounty-program for yderligere at forbedre ProtonVPNs sikkerhed.

Ved drift af en VPN-tjeneste kræves sikkerhed ikke kun VPN-forbindelserne og protokollerne i sig selv. Der er også brug for sikkerhed for den underliggende serverinfrastruktur, websider og dashboards, VPN-applikationerne selv, betalingssystemet og også brugerdatabaserne. For korrekt at beskytte brugernes privatliv er vi nødt til at beskytte alle aspekter af tjenesten mod kompromis.


Når vi bygger ProtonVPN, brugte vi den sikkerhedskompetence, vi har opnået ved at køre verdens største sikre e-mail-tjeneste. Vi har også arbejdet sammen med ProtonMail-sikkerhedsbidragere og det bredere samfund om at styrke alle aspekter af ProtonVPN. For nylig arbejdede vi sammen med lang tid ProtonMail sikkerhedsbidragtager Mazin Ahmed for at gennemføre en omfattende sikkerhedsrevision af ProtonVPN og tilføje yderligere hærdning.

Vores bug bounty program giver os mulighed for at udvide det arbejde, vi allerede udfører på daglig basis for at beskytte ProtonVPN-brugere. Af denne grund, nu hvor ProtonVPN officielt er lanceret, er en af ​​de første ting, vi gør, at lancere ProtonVPN Bug Bounty-programmet. Med dette program inviterer vi sikkerhedseksperter fra hele verden for at forsøge at finde svagheder i ProtonVPN, og vi betaler belønninger (vederlag) for sikkerhedsproblemer, der rapporteres til os via dette program. Hvis du er en sikkerhedsforsker, kan du også deltage i ProtonMail Bug Bounty-programmet.

ProtonVPN Bug Bounty-program

Regler

Anvendelsesområde: Programmet er begrænset til servere og web-, desktop- og mobilapplikationer, der køres af ProtonVPN. Vores profiler på Facebook, Twitter, Linkedin, Eventbrite osv. Er ikke kvalificerede. Kvalificerende websteder inkluderer:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Bemærk: .ch og ikke .com]

ProtonVPN-applikationerne på Windows, MacOS, Linux, iOS og Android er også inkluderet i dette program.

At dømme: Dommerpanelet til at bestemme priser består af ProtonVPN- og ProtonMail-udviklere bistået af en eller flere eksterne eksperter, der er en del af vores sikkerhedsgruppe. Programdeltagere er enige om at respektere dommernes endelige beslutning.

Ansvarlig afsløring: Vi anmoder om, at alle sårbarheder rapporteres til os på [email protected]. Vi mener, at det er imod ånden i dette program at afsløre manglen til tredjepart til andre formål end faktisk at rette fejlen. Deltagerne er enige om ikke at afsløre fejl, der er fundet, før de er blevet rettet og for at koordinere afsløringen med vores team gennem vores udgivelsesnotater for at undgå forvirring.

Ansvarlig test:  Undlad at hacke brugerkonti, korrupte databaser eller lækage data, der kan være følsomme. Vi afskrækker også sårbarhedstest, der forringer servicekvaliteten for vores brugere. Hvis du er i tvivl, er du velkommen til at kontakte vores sikkerhedsteam på [email protected]

Overholdelse af regler: Ved at deltage i dette program accepterer du at overholde ovenstående regler og betingelser. Alle regler skal følges for at være berettigede til priser.

Kvalificerende sårbarheder

Ethvert design- eller implementeringsproblem, der væsentligt påvirker fortroligheden eller integriteten af ​​brugerdata, vil sandsynligvis være inden for programmet. Dette inkluderer, men er ikke begrænset til:

Webapplikationer

  • Cross-site scripting
  • Forfalskning på tværs af websteder
  • Scripts med blandet indhold
  • Fejl ved godkendelse eller godkendelse
  • Fejl på eksekvering af server-side-kode
  • REST API-sårbarheder

Server

  • Ikke-autoriseret shell-adgang
  • Privilegieoptrapning
  • Ekstern kodeudførelse

Applikationer

  • Fejl ved godkendelse eller godkendelse
  • Lokalt datasikkerhedsbrud (uden rodfæstelse)

Vi tror på at arbejde tæt sammen med sikkerhedsforskere og er villige til at dele tekniske detaljer såsom API-specifikationer, kildekode eller infrastrukturoplysninger med udvalgte forskere med det formål at forbedre sikkerheden for alle ProtonMail-brugere. Venligst kontakt [email protected] for flere detaljer.

Kvalificerende forbedringer

Nogle gange tildeles beløb for forslag til forbedring, der ikke falder inden for nogen af ​​ovennævnte kategorier. Dette bestemmes fra sag til sag af vores team. Disse inkluderer ting som:

  • Forbedringer af serverkonfigurationen
  • Firewall-konfigurationer
  • Forbedrede DoS / DDoS-beskyttelsesforanstaltninger
  • Sti / information videregivelse

Ikke-kvalificerede sårbarheder

  • Fejl, der påvirker forældede browsere (beklager, IE6-sikkerhedsproblemer er ikke kvalificerede)
  • Sikkerhedsspørgsmål uden for rammerne af ProtonVPNs trusselmodel
  • Phishing eller social engineering angreb
  • Bugs, der kræver ekstremt usandsynlige brugerinteraktioner
  • WordPress-fejl (men rapporter dem venligst til WordPress)
  • Forældet software – Af forskellige årsager kører vi ikke altid de nyeste softwareversioner, men vi kører software, der er fuldt opdateret
  • Softwarefejl i OpenVPN eller IKEv2 (men rapporter dem venligst til deres forfattere)

Belønningsbeløb

Størrelsen på det beløb, vi betaler, bestemmes fra sag til sag og afhænger i vid udstrækning af sværhedsgraden af ​​problemet. For at blive tildelt en dusør skal du normalt være det den første person, der rapporterer et problem, skønt der undertiden gøres undtagelser. Retningslinjer for grove skatter findes nedenfor:

Mindre server- og appsårbarheder, som ikke kompromitterer brugerdata eller privatliv: 50 $
Sårbarheder, der kan føre til datakorruption: $ 200
Sårbarheder, der kan føre til videregivelse af brugerdata eller bringe brugerens privatliv i fare: $ 1.000+
Maksimal bonus: $ 10.000

Retningslinjer for rapportering

Rapportér problemer til [email protected]. Problemer rapporteres med klare instruktioner om, hvordan man gengiver problemet og / eller beviset for konceptet.

Med venlig hilsen,
Proton Technologies-teamet

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map