ProtonVPN- ի անվտանգ պահպանում

Ինչ վերաբերում է ProtonMail- ին, մենք կառուցել ենք ProtonVPN ՝ անվտանգության շեշտադրմամբ: Այսօր մենք նախաձեռնում ենք Bug Bounty ծրագիր ՝ ProtonVPN- ի անվտանգությունն առավել բարձրացնելու համար.

VPN ծառայություն գործարկելիս անվտանգությունը պահանջվում է ոչ միայն VPN կապերի և ինքնության արձանագրությունների համար: Անվտանգությունն անհրաժեշտ է նաև հիմքում ընկած սերվերի ենթակառուցվածքների, վեբ էջերի և վահանակների համար, VPN դիմումներն իրենք են, վճարային համակարգը և նաև օգտվողի տվյալների շտեմարանները: Օգտագործողի գաղտնիությունը պատշաճ կերպով պաշտպանելու համար մենք պետք է պաշտպանենք ծառայության բոլոր կողմերը փոխզիջումից.


ProtonVPN- ի կառուցման ընթացքում մենք հիմք ընդունեցինք անվտանգության փորձաքննությունը, որը մենք ձեռք ենք բերել աշխարհի ամենամեծ էլեկտրոնային փոստային ծառայությունը գործարկելուց: Մենք նաև համագործակցել ենք ProtonMail անվտանգության ներդրողների և լայն հասարակության հետ ՝ ProtonVPN- ի բոլոր ասպեկտների ամրապնդման ուղղությամբ: Վերջերս մենք ProtonMail անվտանգության երկարաժամկետ ներդրողի հետ համատեղ աշխատեցինք Mazin Ahmed- ի ՝ ProtonVPN- ի անվտանգության համապարփակ աուդիտ անցկացնելու և լրացուցիչ կարծրացման ավելացման համար:.

Մեր bug bounty ծրագիրը մեզ թույլ է տալիս ընդլայնել այն աշխատանքը, որը մենք արդեն անում ենք ամեն օր, պաշտպանելու ProtonVPN օգտագործողներին: Այդ իսկ պատճառով, այժմ, երբ ProtonVPN- ը պաշտոնապես գործարկվեց, առաջին գործերից մեկը, որ մենք անում ենք, ProtonVPN Bug Bounty ծրագիրը գործարկելն է: Այս ծրագրով մենք հրավիրում ենք անվտանգության մասնագետները ամբողջ աշխարհից `փորձել թուլություն գտնել ProtonVPN- ի շրջանակներում, և մենք կվարձատրենք պարգևատրումներ (բոնուսներ) անվտանգության հարցերի համար, որոնք մեզ հաղորդվում են այս ծրագրի միջոցով: Եթե ​​դուք անվտանգության հետազոտող եք, կարող եք նաև մասնակցել ProtonMail Bug Bounty ծրագրին.

ProtonVPN սխալի առատաձեռն ծրագիր

Կանոններ

Ոլորտ: Ծրագիրը սահմանափակվում է սերվերներով և համացանցով, աշխատասեղանով և բջջային ծրագրերով, որոնք վարում է ProtonVPN- ը: Facebook- ի, Twitter- ի, Linkedin- ի, Eventbrite- ի և այլնի մեր պրոֆիլները չեն որակվում: Որակավորման կայքերը ներառում են.

  • protonvpn.com
  • հաշիվ.protonvpn.com
  • api.protonvpn.ch [Նշում: .ch և ոչ .com]

Windows- ի, MacOS- ի, Linux- ի, iOS- ի և Android- ի ProtonVPN ծրագրերը նույնպես ներառված են այս ծրագրում.

Դատելով. Մրցանակները որոշելու համար դատական ​​հանձնաժողովը բաղկացած է ProtonVPN և ProtonMail մշակողների կողմից, որոնց աջակցում են մեկ կամ մի քանի արտաքին փորձագետներ, որոնք մեր անվտանգության խմբի մաս են կազմում: Ծրագրի մասնակիցները համաձայն են հարգել դատավորների կայացրած վերջնական որոշումը.

Պատասխանատու բացահայտում. Մենք խնդրում ենք, որ բոլոր անպաշտպանությունները հայտնվեն մեզ մոտ [email protected]. Մենք հավատում ենք, որ դեմ է այս ծրագրի ոգուն `երրորդ կողմի բացթողումը բացահայտելու համար այլ նպատակների համար, քան իրականում սխալը շտկելն է:. Մասնակիցները համաձայնում են չբացահայտել հայտնաբերված վրիպակները, քանի դեռ դրանք չեն հաստատվել և մեր թիմի հետ բացահայտումները համաձայնեցնել մեր թողարկման նոտաների միջոցով `խառնաշփոթից խուսափելու համար.

Պատասխանատու ստուգում.  Խնդրում ենք մի հապաղեք օգտվողի հաշիվները, տվյալների կոռումպացված բազաները կամ արտահոսքի տվյալները, որոնք կարող են զգայուն լինել: Մենք նաև հիասթափեցնում ենք խոցելիության ստուգումը, որը քայքայում է ծառայությունների որակը մեր օգտագործողների համար: Եթե ​​կասկած ունեք, ազատ զգացեք կապվեք մեր Անվտանգության թիմի ՝ [email protected] կայքում.

Կանոնների պահպանում. Մասնակցելով այս ծրագրին, դուք համաձայն եք հավատարիմ մնալ վերը նշված կանոններին և պայմաններին: Բոլոր կանոնները պետք է հետևեն, որպեսզի մրցանակների իրավունք ստանան.

Որակավորման խոցելիությունը

Նախագծման կամ իրականացման ցանկացած խնդիր, որն էականորեն ազդում է օգտագործողի տվյալների գաղտնիության կամ ամբողջականության վրա, հավանաբար, ծրագրի շրջանակում է: Սա ներառում է, բայց չի սահմանափակվում միայն.

Վեբ ծրագրեր

  • Խաչմերուկի գրություն
  • Խաչմերուկների հարցում կեղծիք
  • Խառը բովանդակության գրություններ
  • Նույնականացման կամ թույլտվության թերություններ
  • Սերվերի կողմից ծածկագրերի կատարման սխալները
  • ՌԵՍՏ API խոցելիություններ

Սերվեր

  • Չսահմանափակված shell մուտք
  • Արտոնությունների էսկալացիա
  • Հեռավոր կոդերի իրականացում

Ծրագրեր

  • Նույնականացման կամ թույլտվության թերություններ
  • Տեղական տվյալների անվտանգության խախտում (առանց արմատավորելու)

Մենք հավատում ենք, որ սերտորեն համագործակցում ենք անվտանգության հետազոտողների հետ և պատրաստ ենք ընտրական հետազոտողների հետ կիսել տեխնիկական մանրամասներ, ինչպիսիք են API բնութագրերը, աղբյուրի ծածկագիրը կամ ենթակառուցվածքների մանրամասները `ProtonMail- ի բոլոր օգտագործողների համար անվտանգության բարելավման նպատակով: Խնդրում եմ կապնվել [email protected] լրացուցիչ մանրամասների համար.

Որակավորման բարելավումներ

Երբեմն, շնորհակալագրերը շնորհվում են բարելավմանն ուղղված առաջարկությունների համար, որոնք չեն մտնում վերը նշված կատեգորիաներից որևէ մեկի մեջ: Դա մեր թիմի կողմից որոշվում է դեպքեր: Դրանք ներառում են այնպիսի բաներ, ինչպիսիք են.

  • Սերվերի կազմաձևման բարելավում
  • Firewall- ի կազմաձևերը
  • Բարելավված DoS / DDoS երաշխիքները
  • Ուղի / տեղեկատվության բացահայտում

Ոչ որակավորման խոցելիություններ

  • Ժամանակակից զննարկիչների վրա ազդող թերությունները (կներեք, IE6 անվտանգության խնդիրները չեն որակվում)
  • Անվտանգության խնդիրներ ProtonVPN- ի սպառնալիքի մոդելի սահմաններից դուրս
  • Ֆիշինգ կամ սոցիալական ինժեներական գրոհներ
  • Սխալներ, որոնք պահանջում են օգտագործողի չափազանց անհավանական փոխազդեցություններ
  • WordPress- ի սխալներ (բայց խնդրում ենք զեկուցել դրանք WordPress- ին)
  • Ժամկետային ծրագրաշար. Տարաբնույթ պատճառներով, մենք միշտ չէ, որ գործարկում ենք ծրագրային ապահովման ամենաթարմ վարկածները, բայց մենք գործարկում ենք ծրագրակազմ, որն ամբողջությամբ պատված է
  • Ծրագրային ապահովման վրիպակները OpenVPN- ում կամ IKEv2- ում (բայց խնդրում ենք զեկուցել դրանք իրենց հեղինակներին)

Պարգևատրման գումարներ

Մեր վճարած մեծերի չափը որոշվում է դեպքի առթիվ և մեծապես կախված է հարցի ծանրությունից: Որպեսզի պարգևատրվես, սովորաբար պետք է լինես առաջին մարդը, որը զեկուցեց մի խնդրի մասին, չնայած երբեմն լինում են բացառություններ: Ստորև բերված են կոպիտ նվերների ուղեցույցներ.

Փոքր սերվերի և ծրագրերի խոցելիություններ, որոնք չեն վնասում օգտագործողի տվյալները կամ գաղտնիությունը ՝ 50 դոլար
Խոցելիություններ, որոնք կարող են հանգեցնել տվյալների կոռուպցիայի. 200 դոլար
Խոցելիություններ, որոնք կարող են հանգեցնել օգտագործողի տվյալների բացահայտմանը կամ վտանգել օգտագործողի գաղտնիությունը ՝ 1.000 դոլար+
Առավելագույն առատաձեռնություն ՝ 10,000 դոլար

Հաշվետվության ուղեցույցներ

Խնդրում ենք զեկուցել խնդիրները [email protected]. Հարցերը պետք է հաղորդվեն հստակ ցուցումներով, թե ինչպես վերարտադրել խնդիրը և (կամ) հայեցակարգի ապացույց.

Լավագույն հարգանքներով,
Proton Technologies- ի թիմը

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map