प्रोटॉन वीपीएन को सुरक्षित रखना

ProtonMail के साथ के रूप में, हमने सुरक्षा पर जोर देते हुए ProtonVPN का निर्माण किया है। आज, हम प्रोटॉन वीपीएन की सुरक्षा को और बढ़ाने के लिए एक बग बाउंटी प्रोग्राम शुरू कर रहे हैं.

एक वीपीएन सेवा के संचालन में, न केवल वीपीएन कनेक्शन और प्रोटोकॉल के लिए सुरक्षा की आवश्यकता होती है। अंतर्निहित सर्वर अवसंरचना, वेब पेज और डैशबोर्ड, स्वयं वीपीएन एप्लिकेशन, भुगतान प्रणाली और उपयोगकर्ता डेटाबेस के लिए भी सुरक्षा की आवश्यकता होती है। उपयोगकर्ता की गोपनीयता को ठीक से बचाने के लिए, हमें सेवा के सभी पहलुओं को समझौता करने से बचाने की आवश्यकता है.


प्रोटॉन वीपीएन के निर्माण में, हमने दुनिया की सबसे बड़ी सुरक्षित ईमेल सेवा को चलाने से प्राप्त सुरक्षा विशेषज्ञता पर आकर्षित किया। हम प्रोटॉनमेल के सभी पहलुओं को मजबूत करने पर प्रोटॉनमेल सुरक्षा योगदानकर्ताओं और व्यापक समुदाय के साथ भी काम कर रहे हैं। हाल ही में, हमने प्रोटॉन वीपीएन के एक व्यापक सुरक्षा ऑडिट को पूरा करने और अतिरिक्त सख्त करने के लिए लंबे समय तक प्रोटॉनमेल के सुरक्षा योगदानकर्ता माजिन अहमद के साथ मिलकर काम किया।.

हमारी बग बाउंटी कार्यक्रम हमें उस कार्य का विस्तार करने की अनुमति देता है जो हम प्रोटॉन वीपीएन उपयोगकर्ताओं की सुरक्षा के लिए दैनिक आधार पर करते हैं। इस कारण से, अब जब प्रोटॉन वीपीएन ने आधिकारिक तौर पर लॉन्च किया है, तो हम जो पहली चीजें कर रहे हैं, उनमें से एक प्रोटॉन वीपीएन बग बाउंटी प्रोग्राम शुरू कर रहा है। इस कार्यक्रम के साथ, हम आमंत्रित कर रहे हैं प्रोटॉन वीपीएन के भीतर कमजोरियों को खोजने की कोशिश करने के लिए दुनिया भर के सुरक्षा विशेषज्ञ, और हम सुरक्षा मुद्दों के लिए पुरस्कार (इनाम) का भुगतान करेंगे जो इस कार्यक्रम के माध्यम से हमें सूचित किया जाता है। यदि आप एक सुरक्षा शोधकर्ता हैं, तो आप प्रोटॉनमेल बग बाउंटी कार्यक्रम में भी भाग ले सकते हैं.

प्रोटॉन वीपीएन बग बाउंटी प्रोग्राम

नियम

स्कोप: कार्यक्रम सर्वरों और प्रोटॉन वीपीएन द्वारा चलाए जा रहे वेब, डेस्कटॉप और मोबाइल एप्लिकेशन तक सीमित है। फेसबुक, ट्विटर, लिंक्डइन, इवेंटब्राइट, आदि पर हमारे प्रोफाइल योग्य नहीं हैं। योग्य साइटों में शामिल हैं:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [ध्यान दें: .ch और न .com]

Windows, MacOS, Linux, iOS और Android पर ProtonVPN एप्लिकेशन भी इस कार्यक्रम में शामिल हैं.

आंकना: पुरस्कारों को निर्धारित करने के लिए जजमेंट पैनल में प्रोटॉन वीपीएन और प्रोटॉनमेल डेवलपर्स होते हैं जिन्हें एक या एक से अधिक बाहरी विशेषज्ञों द्वारा सहायता प्रदान की जाती है जो हमारे सुरक्षा समूह का हिस्सा हैं। कार्यक्रम के प्रतिभागियों ने न्यायाधीशों द्वारा किए गए अंतिम निर्णय का सम्मान करने के लिए सहमति व्यक्त की.

जिम्मेदार प्रकटीकरण: हम अनुरोध करते हैं कि सभी कमजोरियों की सूचना हमें दी जाए [email protected]. हमारा मानना ​​है कि यह वास्तव में बग को ठीक करने के अलावा अन्य उद्देश्यों के लिए तीसरे पक्ष को दोष का खुलासा करने के लिए इस कार्यक्रम की भावना के खिलाफ है. प्रतिभागी बग्स को तब तक प्रकट नहीं करने के लिए सहमत हैं जब तक वे तय नहीं किए गए और भ्रम से बचने के लिए हमारी रिलीज़ नोट्स के माध्यम से हमारी टीम के साथ प्रकटीकरण समन्वय के लिए.

जिम्मेदार परीक्षण:  कृपया उपयोगकर्ता खाते, भ्रष्ट डेटाबेस या डेटा को हैक न करें जो संवेदनशील हो सकते हैं। हम भेद्यता परीक्षण को भी हतोत्साहित करते हैं जो हमारे उपयोगकर्ताओं के लिए सेवा की गुणवत्ता को कम करता है। यदि संदेह है, तो सुरक्षा @protonvpn.com पर हमारी सुरक्षा टीम से संपर्क करने के लिए स्वतंत्र महसूस करें.

नियमों का पालन: इस कार्यक्रम में भाग लेने से, आप उपरोक्त नियमों और शर्तों का पालन करने के लिए सहमत हैं। पुरस्कार के लिए सभी नियमों का पालन किया जाना चाहिए.

योग्यता कमजोरियों

कोई भी डिज़ाइन या कार्यान्वयन समस्या जो उपयोगकर्ता डेटा की गोपनीयता या अखंडता को काफी प्रभावित करती है, कार्यक्रम के लिए गुंजाइश होने की संभावना है। इसमें शामिल है, लेकिन यह तक सीमित नहीं है:

वेब अनुप्रयोग

  • क्रॉस साइट स्क्रिप्टिंग
  • क्रॉस साइट अनुरोध जालसाजी
  • मिश्रित सामग्री वाली स्क्रिप्ट
  • प्रमाणीकरण या प्राधिकरण दोष
  • सर्वर-साइड कोड निष्पादन बग
  • अन्य एपीआई कमजोरियाँ

सर्वर

  • गैर-अधिकृत शेल एक्सेस
  • सुविधा वृद्धि
  • रिमोट कोड निष्पादन

अनुप्रयोग

  • प्रमाणीकरण या प्राधिकरण दोष
  • स्थानीय डेटा सुरक्षा उल्लंघन (बिना रूट किए)

हम सुरक्षा शोधकर्ताओं के साथ मिलकर काम करने में विश्वास करते हैं और सभी प्रोटॉनमेल उपयोगकर्ताओं के लिए सुरक्षा में सुधार के उद्देश्य से चुनिंदा शोधकर्ताओं के साथ एपीआई विवरण, स्रोत कोड, या बुनियादी ढांचे के विवरण जैसे तकनीकी विवरण साझा करने के इच्छुक हैं। कृपया संपर्क करें [email protected] अधिक जानकारी के लिए.

योग्यता में सुधार

कभी-कभी, सुधार के लिए सुझावों के लिए इनाम दिए जाते हैं जो उपरोक्त किसी भी श्रेणी में नहीं आते हैं। यह हमारी टीम द्वारा केस के आधार पर निर्धारित किया जाता है। इनमें निम्न बातें शामिल हैं:

  • सर्वर कॉन्फ़िगरेशन सुधार
  • फ़ायरवॉल कॉन्फ़िगरेशन
  • बेहतर DoS / DDoS सुरक्षा उपाय
  • पथ / सूचना प्रकटीकरण

गैर-योग्यता कमजोरियां

  • आउट ऑफ़ डेट ब्राउज़र पर प्रभाव डालने वाले पंजे (क्षमा करें, IE6 सुरक्षा समस्याएँ योग्य नहीं हैं)
  • प्रोटॉन वीपीएन के खतरे मॉडल के दायरे से बाहर सुरक्षा मुद्दे
  • फ़िशिंग या सोशल इंजीनियरिंग के हमले
  • कीड़े की अत्यधिक संभावना नहीं उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है
  • वर्डप्रेस बग (लेकिन कृपया उन वर्डप्रेस को रिपोर्ट करें)
  • आउट ऑफ़ डेट सॉफ़्टवेयर – कई कारणों से, हम हमेशा सबसे हाल के सॉफ़्टवेयर संस्करणों को नहीं चलाते हैं, लेकिन हम ऐसे सॉफ़्टवेयर चलाते हैं जो पूरी तरह से पैच किए जाते हैं
  • OpenVPN या IKEv2 में सॉफ़्टवेयर बग (लेकिन कृपया उन्हें उनके लेखकों को रिपोर्ट करें)

पुरस्कारों की गिनती

हमारे द्वारा भुगतान की जाने वाली बाउंटी का आकार किसी मामले के आधार पर निर्धारित किया जाता है और काफी हद तक मुद्दे की गंभीरता पर निर्भर करता है। एक इनाम से सम्मानित होने के लिए, आपको आमतौर पर होना चाहिए किसी समस्या की रिपोर्ट करने वाला पहला व्यक्ति, हालांकि कभी-कभी अपवाद बनाए जाते हैं। नीचे दिए गए पर्याप्त दिशानिर्देश दिए गए हैं:

मामूली सर्वर और ऐप भेद्यताएं जो उपयोगकर्ता डेटा या गोपनीयता से समझौता नहीं करती हैं: $ 50
कमजोरियां जो डेटा भ्रष्टाचार को जन्म दे सकती हैं: $ 200
कमजोरियां जो उपयोगकर्ता डेटा के प्रकटीकरण या उपयोगकर्ता की गोपनीयता को खतरे में डाल सकती हैं: $ 1,000+
अधिकतम इनाम: $ 10,000

रिपोर्टिंग दिशानिर्देश

कृपया मुद्दों को रिपोर्ट करें [email protected]. मुद्दों को स्पष्ट निर्देशों के साथ रिपोर्ट किया जाना चाहिए कि कैसे मुद्दे और / या अवधारणा के प्रमाण को पुन: पेश किया जाए.

सादर,
प्रोटॉन टेक्नोलॉजीज टीम

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map