ProtonVPN turvalisena hoidmine

Nagu ProtonMaili puhul, oleme ka ProtonVPNi üles ehitanud, keskendudes turvalisusele. Täna käivitame programmi Bug Bounty, et veelgi parandada ProtonVPN turvalisust.

VPN-teenuse kasutamisel on vaja turvalisust mitte ainult VPN-ühenduste ja protokollide enda jaoks. Turvalisust on vaja ka aluseks oleva serveri infrastruktuuri, veebilehtede ja armatuurlaudade, VPN-i rakenduste endi, maksesüsteemi ja ka kasutajate andmebaaside jaoks. Kasutajate privaatsuse nõuetekohaseks kaitsmiseks peame kaitsma kõiki teenuse aspekte kompromisside eest.


ProtonVPNi ehitamisel lähtusime turvateadmistest, mida oleme saanud maailma suurima turvalise e-posti teenuse käitamisel. Samuti oleme ProtonMail turvalisuse toetajate ja laiema kogukonnaga teinud koostööd ProtonVPN kõigi aspektide tugevdamiseks. Hiljuti töötasime koos pikaajalise ProtonMaili turvalisuse kaastöötaja Mazin Ahmediga, et viia lõpule ProtonVPN põhjalik turbeaudit ja lisada täiendavat kõvendamist.

Meie veahalastusprogramm võimaldab meil laiendada tööd, mida me juba igapäevaselt teeme ProtonVPN kasutajate kaitsmiseks. Sel põhjusel, nüüd kui ProtonVPN on ametlikult käivitunud, on üks esimesi asju, mida me teeme, ProtonVPN veapalaviku programmi käivitamine. Selle programmiga kutsume turbeeksperdid kogu maailmast, et proovida leida nõrku kohti ProtonVPN-is, ja selle programmi kaudu meile teatatud turvaprobleemide eest maksame preemiaid (makse). Kui olete turvalisuse uurija, võite osaleda ka programmis ProtonMail Bug Bounty.

Programm ProtonVPN veahaldusprogramm

Reeglid

Reguleerimisala: Programm on piiratud serverite ning veebi-, laua- ja mobiilirakendustega, mida haldab ProtonVPN. Meie profiilid Facebookis, Twitteris, Linkedinis, Eventbrite’is jne ei kvalifitseeru. Kvalifitseeruvad saidid hõlmavad järgmist:

  • protonvpn.com
  • konto.protonvpn.com
  • api.protonvpn.ch [Märge: .ch ja mitte .com]

Selles programmis on ka ProtonVPN rakendused opsüsteemides Windows, MacOS, Linux, iOS ja Android.

Otsustades: Auhindade määramise hindamiskomisjon koosneb ProtonVPN ja ProtonMail arendajatest, keda abistab üks või mitu väliseksperti, kes kuuluvad meie turvarühma. Programmis osalejad nõustuvad kohtunike tehtud lõpliku otsuse austamisega.

Vastutustundlik avalikustamine: Taotleme, et kõigist haavatavustest teatatakse meile aadressil [email protected]. Leiame, et selle programmi mõttega on vastuollu vea avaldamine kolmandatele osapooltele muul eesmärgil kui vea tegelik parandamine. Osalejad nõustuvad avaldama leitud vead alles pärast nende parandamist ning segaduste vältimiseks koordineerige avalikustamist oma tiimiga meie väljalasketeadete kaudu.

Vastutustundlik testimine:  Ärge häkkida kasutajakontosid, rikutud andmebaase ega lekkeid, mis võivad olla tundlikud. Samuti hoiame ära haavatavuse testimise, mis halvendab meie kasutajate teenuse kvaliteeti. Kui kahtlete, võtke julgelt ühendust meie turbemeeskonnaga aadressil [email protected]

Reeglitest kinnipidamine: Selles programmis osaledes nõustute järgima ülaltoodud reegleid ja tingimusi. Auhindade saamiseks tuleb järgida kõiki reegleid.

Nõrkuste kvalifitseerimine

Kõik kavandamis- või rakendusprobleemid, mis mõjutavad oluliselt kasutajaandmete konfidentsiaalsust või terviklikkust, on programmi jaoks tõenäoliselt kohaldatavad. See hõlmab, kuid ei ole nendega piiratud:

Veebirakendused

  • Saidideülene skriptimine
  • Saitideülene võltsimise taotlus
  • Segatud sisuga skriptid
  • Autentimis- või autoriseerimisvead
  • Serveripoolsed koodi täitmise vead
  • REST API haavatavused

Server

  • Volitamata juurdepääs shellile
  • Privileegide laienemine
  • Koodi kaugkäivitus

Rakendused

  • Autentimis- või autoriseerimisvead
  • Kohaliku andmeturbe rikkumine (ilma juurdumiseta)

Me usume, et teeme tihedat koostööd turvateadlastega ja oleme valmis jagama valitud teadlastega tehnilisi üksikasju, näiteks API spetsifikatsioone, lähtekoodi või infrastruktuuri üksikasju, eesmärgiga parandada kõigi ProtonMaili kasutajate turvalisust. Palun võtke ühendust [email protected] lähemalt.

Paranduste kvalifitseerimine

Mõnikord antakse rahasid parendusettepanekute eest, mis ei kuulu ühtegi ülaltoodud kategooriasse. Meie meeskond määrab selle igal üksikjuhul eraldi. Nende hulka kuuluvad näiteks:

  • Serveri konfiguratsiooni parandused
  • Tulemüüri konfiguratsioonid
  • Täiustatud DoS / DDoS kaitsemeetmed
  • Tee / teabe avalikustamine

Mittekvalifitseeritavad haavatavused

  • Vananenud brausereid mõjutavad vead (vabandust, IE6 turvaprobleemid ei kvalifitseeru)
  • ProtonVPNi ohumudeli reguleerimisalast välja jäävad turvaküsimused
  • Andmepüügi või sotsiaalse inseneri rünnakud
  • Vead, mis nõuavad äärmiselt ebatõenäolist kasutaja sekkumist
  • WordPressi vead (kuid palun teatage neist WordPressile)
  • Aegunud tarkvara – mitmesugustel põhjustel ei käita me alati uusimaid tarkvaraversioone, vaid käitame tarkvara, mis on täielikult paigas
  • Tarkvaravead OpenVPN-is või IKEv2-s (kuid palun teatage neist autoritele)

Preemia summad

Meie makstava halduri suurus määratakse kindlaks igal üksikjuhul eraldi ja sõltub suuresti probleemi tõsidusest. Halastuse saamiseks peate tavaliselt olema esimene inimene, kes probleemist teatas, kuigi mõnikord tehakse erandeid. Jämedad halastusjuhised on esitatud allpool:

Väiksemad serveri- ja rakenduste nõrgad kohad, mis ei kahjusta kasutaja andmeid ega privaatsust: 50 dollarit
Haavatavused, mis võivad põhjustada andmete rikkumist: 200 dollarit
Haavatavused, mis võivad põhjustada kasutajaandmete avalikustamise või ohustada kasutaja privaatsust: 1000 dollarit+
Maksimaalne halastus: 10 000 dollarit

Aruandlusjuhised

Teatage probleemidest aadressile [email protected]. Probleemidest tuleks aru anda koos selgete juhistega väljaande reprodutseerimise ja / või kontseptsiooni tõendi kohta.

Parimate soovidega,
Proton Technologies meeskond

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me