保证ProtonVPN的安全

与ProtonMail一样,我们构建了注重安全性的ProtonVPN。今天,我们正在启动一个Bug赏金计划,以进一步增强ProtonVPN的安全性.

在运行VPN服务时,不仅需要VPN连接和协议本身的安全性。基础服务器基础结构,网页和仪表板,VPN应用程序本身,支付系统以及用户数据库也需要安全性。为了适当地保护用户隐私,我们需要保护服务的各个方面不受损害.


在构建ProtonVPN时,我们借鉴了运行世界上最大的安全电子邮件服务所获得的安全专业知识。我们还一直与ProtonMail安全贡献者和更广泛的社区合作,以加强ProtonVPN的各个方面。最近,我们与ProtonMail安全贡献者Mazin Ahmed长期合作,完成了对ProtonVPN的全面安全审核,并添加了其他强化功能.

我们的 错误赏金计划 允许我们扩展我们每天已经做的工作​​,以保护ProtonVPN用户。因此,现在ProtonVPN已正式启动,我们要做的第一件事就是启动ProtonVPN Bug赏金计划。通过此计划,我们邀请 来自世界各地的安全专家试图发现ProtonVPN的弱点, 并且我们将为通过此计划报告给我们的安全问题提供奖励(赏金)。如果您是安全研究员,还可以参加ProtonMail Bug赏金计划.

ProtonVPN Bug赏金计划

规则

范围: 该程序仅限于ProtonVPN运行的服务器以及Web,桌面和移动应用程序。我们在Facebook,Twitter,Linkedin,Eventbrite等上的个人资料不符合条件。符合条件的网站包括:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [注意:.ch而不是.com]

Windows,MacOS,Linux,iOS和Android上的ProtonVPN应用程序也包含在此程序中.

评判: 确定奖项的评审委员会由ProtonVPN和ProtonMail开发人员组成,他们是我们安全小组的一名或多名外部专家的协助。计划参与者同意尊重法官的最终决定.

负责任的披露: 我们要求将所有漏洞报告给我们,网址为: [email protected]. 我们认为,出于实际修复错误以外的目的向第三方披露该缺陷与该程序的精神背道而驰. 参与者同意在修复后发现的错误不予披露 并通过发行说明协调与我们团队的披露,以避免造成混淆.

负责的测试:  请不要破解用户帐户,损坏的数据库或泄漏可能敏感的数据。我们还不建议进行会降低用户服务质量的漏洞测试。如有疑问,请随时通过[email protected]与我们的安全团队联系。.

遵守规则: 参加此计划,即表示您同意遵守上述规则和条件。必须遵守所有规则才能获得奖励.

合格漏洞

实质上影响用户数据机密性或完整性的任何设计或实现问题都可能在该程序的范围之内。这包括但不限于:

网络应用

  • 跨站脚本
  • 跨站点伪造
  • 混合内容脚本
  • 认证或授权缺陷
  • 服务器端代码执行错误
  • REST API漏洞

服务器

  • 未经授权的外壳程序访问
  • 特权升级
  • 远程执行代码

应用领域

  • 认证或授权缺陷
  • 本地数据安全漏洞(无生根)

我们相信与安全研究人员紧密合作,并愿意与选定的研究人员共享API规范,源代码或基础结构详细信息等技术细节,以期改善所有ProtonMail用户的安全性。请联系 [email protected] 更多细节.

合格的改进

有时,会提供赏金来奖励改进建议,但不属于上述任何类别。这是由我们的团队根据具体情况确定的。这些内容包括:

  • 服务器配置改进
  • 防火墙配置
  • 改进的DoS / DDoS防护
  • 路径/信息公开

不合格漏洞

  • 影响过时浏览器的缺陷(对不起,IE6安全问题不符合要求)
  • ProtonVPN威胁模型范围之外的安全问题
  • 网络钓鱼或社会工程攻击
  • 需要极少的用户交互的错误
  • WordPress错误(但请向WordPress报告)
  • 过时的软件–由于多种原因,我们并不总是运行最新的软件版本,而是运行完全修补的软件
  • OpenVPN或IKEv2中的软件错误(但请向其作者报告)

奖励金额

我们支付的赏金数额视具体情况而定,并且在很大程度上取决于问题的严重性。要获得赏金,通常需要 第一个报告问题的人, 尽管有时会例外。以下提供了粗略的赏金指南:

不会损害用户数据或隐私的次要服务器和应用程序漏洞:$ 50
可能导致数据损坏的漏洞:200美元
可能导致泄露用户数据或危害用户隐私的漏洞:$ 1,000+
最高赏金:$ 10,000

报告准则

请将问题报告给 [email protected]. 在报告问题时,应明确说明如何重现问题和/或概念证明.

最好的祝福,
质子技术团队

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map