Holde ProtonVPN sikkert

Som med ProtonMail, har vi bygget ProtonVPN med vekt på sikkerhet. I dag lanserer vi et Bug Bounty-program for å forbedre ProtonVPNs sikkerhet ytterligere.

Når du bruker en VPN-tjeneste, kreves det ikke bare sikkerhet for VPN-tilkoblinger og protokoller. Sikkerhet er også nødvendig for den underliggende serverinfrastrukturen, websidene og dashbordene, VPN-applikasjonene selv, betalingssystemet, og også brukerdatabasene. For å beskytte brukernes personvern på riktig måte, må vi beskytte alle aspekter av tjenesten mot kompromisser.


Når vi bygde ProtonVPN, trakk vi på den sikkerhetskompetansen vi har fått ved å drive verdens største sikre e-posttjeneste. Vi har også jobbet sammen med ProtonMail sikkerhetsbidragsytere og det bredere samfunn for å styrke alle aspekter av ProtonVPN. Nylig jobbet vi sammen med lang tid ProtonMail sikkerhetsbidragsyter Mazin Ahmed for å fullføre en omfattende sikkerhetsrevisjon av ProtonVPN og legge til ytterligere herding.

Våre bug bounty program lar oss utvide arbeidet vi allerede gjør på daglig basis for å beskytte ProtonVPN-brukere. Av den grunn, nå som ProtonVPN offisielt har lansert, er en av de første tingene vi gjør å lansere ProtonVPN Bug Bounty Program. Med dette programmet inviterer vi sikkerhetseksperter fra hele verden for å prøve å finne svakheter i ProtonVPN, og vi vil betale belønninger (vederlag) for sikkerhetsproblemer som blir rapportert til oss gjennom dette programmet. Hvis du er en sikkerhetsforsker, kan du også delta i ProtonMail Bug Bounty Program.

ProtonVPN Bug Bounty Program

regler

Omfang: Programmet er begrenset til serverne og nett-, stasjonære og mobile applikasjoner som drives av ProtonVPN. Våre profiler på Facebook, Twitter, Linkedin, Eventbrite osv. Kvalifiserer ikke. Kvalifiserende nettsteder inkluderer:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Merk: .ch og ikke .com]

ProtonVPN-applikasjonene på Windows, MacOS, Linux, iOS og Android er også inkludert i dette programmet.

Judging: Dommerpanelet for å bestemme priser består av ProtonVPN- og ProtonMail-utviklere assistert av en eller flere utenforstående eksperter som er en del av sikkerhetsgruppen vår. Programdeltakerne er enige om å respektere den endelige avgjørelsen som er tatt av dommerne.

Ansvarlig avsløring: Vi ber om at alle sårbarheter blir rapportert til oss på [email protected]. Vi mener det er mot ånden i dette programmet å avsløre feilen til tredjepart for andre formål enn å faktisk fikse feilen. Deltakerne samtykker i å ikke avsløre feil som ble funnet før etter at de er fikset og å koordinere avsløringen med teamet vårt gjennom våre utgivelsesnotater for å unngå forvirring.

Ansvarlig testing:  Ikke hacking brukerkontoer, korrupte databaser eller lekkasje data som kan være sensitive. Vi fraråder også sårbarhetstesting som forringer kvaliteten på tjenesten for våre brukere. Hvis du er i tvil, ta gjerne kontakt med vårt sikkerhetsteam på [email protected]

Overholdelse av regler: Ved å delta i dette programmet godtar du å overholde reglene og betingelsene ovenfor. Alle regler må følges for å være kvalifisert for utmerkelser.

Kvalifiserende sårbarheter

Ethvert design- eller implementeringsproblem som vesentlig påvirker konfidensialiteten eller integriteten til brukerdata, vil sannsynligvis være i omfanget av programmet. Dette inkluderer, men er ikke begrenset til:

Nettapplikasjoner

  • Cross-site scripting
  • Forfalskning på tvers av nettstedet
  • Skript med blandet innhold
  • Autentiserings- eller autorisasjonsfeil
  • Feil på kjøringen på serversiden
  • REST API-sårbarheter

Server

  • Ikke-autorisert skalltilgang
  • Opptrapping av privilegier
  • Ekstern kjøring av kode

applikasjoner

  • Autentiserings- eller autorisasjonsfeil
  • Lokalt datasikkerhetsbrudd (uten forankring)

Vi tror på å jobbe tett med sikkerhetsforskere og er villige til å dele tekniske detaljer som API-spesifikasjoner, kildekode eller infrastrukturdetaljer med utvalgte forskere med sikte på å forbedre sikkerheten for alle ProtonMail-brukere. Vær så snill og kontakt [email protected] for flere detaljer.

Kvalifiserende forbedringer

Noen ganger blir det utdelt beløp for forslag til forbedringer som ikke faller inn i noen av de ovennevnte kategoriene. Dette bestemmes fra sak til sak av teamet vårt. Disse inkluderer ting som:

  • Forbedringer av serverkonfigurasjonen
  • Brannmurkonfigurasjoner
  • Forbedrede DoS / DDoS-garantier
  • Sti / informasjonsutlevering

Ikke-kvalifiserte sårbarheter

  • Feil som påvirker utdaterte nettlesere (beklager, IE6-sikkerhetsproblemer kvalifiserer ikke)
  • Sikkerhetsproblemer utenfor rammen for ProtonVPNs trusselmodell
  • Angrep innen phishing eller sosial ingeniør
  • Feil som krever ekstremt usannsynlige brukerinteraksjoner
  • WordPress-feil (men rapporter dem til WordPress)
  • Utdatert programvare – Av mange årsaker kjører vi ikke alltid de nyeste programvareversjonene, men vi kjører programvare som er fullstendig oppdatert
  • Programvarefeil i OpenVPN eller IKEv2 (men rapporter dem til forfatterne)

Belønningsbeløp

Størrelsen på godtgjørelsen vi betaler bestemmes fra sak til sak og avhenger i stor grad av alvorlighetsgraden av problemet. For å bli tildelt en dusør, må du vanligvis være det den første personen som rapporterer et problem, selv om noen ganger gjøres unntak. Retningslinjer for grove dusyrer er gitt nedenfor:

Mindre server- og appsårbarheter som ikke går ut over brukerdata eller personvern: $ 50
Sikkerhetsproblemer som kan føre til datakorrupsjon: $ 200
Sårbarheter som kan føre til avsløring av brukerdata eller sette brukerens personvern i fare: 1000 dollar+
Maksimal dusør: 10.000 dollar

Retningslinjer for rapportering

Rapporter problemer til [email protected]. Problemer bør rapporteres med klare instruksjoner for hvordan du kan reprodusere problemet og / eller beviset på konseptet.

Med vennlig hilsen,
Proton Technologies Team

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me