ProtonVPN ایمن نگه دارید

همانند ProtonMail ، ما ProtonVPN را با تأکید بر امنیت ساخته ایم. امروز ، ما برای تقویت هر چه بیشتر امنیت ProtonVPN ، برنامه Bounty Bug را راه اندازی می کنیم.

برای کار با یک سرویس VPN ، امنیت نه تنها برای اتصالات VPN و پروتکل ها ضروری است. امنیت همچنین برای زیرساخت های سرور اصلی ، صفحات وب و داشبورد ، برنامه های VPN ، سیستم پرداخت و همچنین پایگاه داده های کاربر مورد نیاز است. برای محافظت مناسب از حریم شخصی کاربران ، باید از همه ابعاد سرویس در برابر سازش محافظت کنیم.


در ساختن ProtonVPN ، ما به تجربه امنیتی ما از اجرای بزرگترین سرویس ایمن ایمیلی جهان دست یافته ایم. ما همچنین با همکاران امنیتی ProtonMail و جامعه گسترده تر در تقویت همه جنبه های ProtonVPN همکاری کرده ایم. به تازگی ، ما با مازین احمد ، مشارکت کننده امنیتی امنیت ProtonMail به مدت طولانی کار کردیم تا یک ممیزی امنیتی جامع از ProtonVPN را تکمیل کنیم و سخت شدن اضافی را اضافه کنیم.

ما برنامه bugy bug به ما امکان می دهد کارهایی را که قبلاً انجام می دهیم بطور روزانه انجام دهیم تا از کاربران ProtonVPN محافظت کنیم. به همین دلیل ، اکنون که ProtonVPN به طور رسمی راه اندازی شده است ، یکی از اولین کارهایی که ما انجام می دهیم ، راه اندازی برنامه ProtonVPN Bug Bounty است. با استفاده از این برنامه ، ما دعوت می کنیم کارشناسان امنیتی از سراسر جهان سعی می کنند نقاط ضعفی را در ProtonVPN پیدا کنند, و ما برای موضوعات امنیتی که از طریق این برنامه به ما گزارش می شود ، پاداش (پاداش) می پردازیم. اگر یک محقق امنیتی هستید ، می توانید در برنامه نبرد اشکال ProtonMail نیز شرکت کنید.

برنامه اشکال ProtonVPN اشکال

قوانین

محدوده: این برنامه محدود به سرورها و برنامه های وب ، دسک تاپ و موبایل است که توسط ProtonVPN اجرا می شود. نمایه های ما در فیس بوک ، توییتر ، لینکدین ، ​​Eventbrite و غیره واجد شرایط نیستند. سایتهای واجد شرایط شامل:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [توجه داشته باشید: .ch و نه .com]

برنامه های ProtonVPN در ویندوز ، MacOS ، Linux ، iOS و Android نیز در این برنامه گنجانده شده اند.

داوری: هیئت داوری برای تعیین جوایز شامل توسعه دهندگان ProtonVPN و ProtonMail است که توسط یک یا چند متخصص خارج از کشور که جزئی از گروه امنیتی ما هستند ، کمک می کند. شرکت کنندگان در این برنامه موافق هستند که به تصمیم نهایی اتخاذ شده توسط داوران احترام بگذارند.

افشای مسئولیت: ما درخواست می کنیم که همه آسیب پذیری ها به ما گزارش شود [email protected]. ما اعتقاد داریم که مخالفت با روح این برنامه نیست که عیب را به اشخاص ثالث برای اهداف دیگری غیر از رفع اشکال برملا کنیم.. شرکت کنندگان موافقت می کنند تا پس از رفع اشکالات موجود در آن ها را فاش نکنید و افشای افشاگری با تیم ما از طریق یادداشت های انتشار ما برای جلوگیری از سردرگمی.

تست مسئول:  لطفاً حسابهای کاربر ، بانکهای اطلاعاتی فاسد یا داده های نشتی را که حساس هستند ، هک نکنید. ما همچنین از آزمایش آسیب پذیری که باعث کاهش کیفیت خدمات برای کاربران می شود ، دلسرد می شویم. اگر شک دارید ، در صورت تمایل با تیم امنیتی ما در [email protected] تماس بگیرید.

پیروی از قوانین: با شرکت در این برنامه ، شما موافقت می کنید که قوانین و مقررات فوق را رعایت کنید. برای رعایت جوایز باید تمام قوانین دنبال شود.

صلاحیت آسیب پذیری

هر طرح و یا اجرای برنامه ای که به طور قابل ملاحظه ای بر محرمانه بودن یا یکپارچگی داده های کاربر تأثیر بگذارد ، احتمالاً در این برنامه قرار دارد. این شامل می شود ، اما به این موارد محدود نمی شود:

برنامه های وب

  • برنامه نویسی متقاطع
  • جعل درخواست متقابل سایت
  • اسکریپت های محتوای مختصر
  • نقص در تأیید اعتبار یا مجوز
  • اشکالات اجرای کد سمت سرور
  • آسیب پذیری های REST API

سرور

  • دسترسی پوسته غیر مجاز
  • افزایش امتیاز
  • اجرای کد از راه دور

برنامه های کاربردی

  • نقص در تأیید اعتبار یا مجوز
  • نقض امنیت داده محلی (بدون ریشه زدن)

ما به همکاری نزدیک با محققان امنیتی ایمان داریم و مایل هستیم جزئیات فنی مانند مشخصات API ، کد منبع یا جزئیات زیرساخت را با محققان منتخب با هدف بهبود امنیت برای کلیه کاربران ProtonMail به اشتراک بگذاریم. لطفا تماس بگیرید [email protected] برای اطلاعات بیشتر.

بهبود کیفیت

بعضی اوقات ، برای بهبودهایی که در هیچ یک از دسته های فوق قرار نمی گیرند ، جوایز اهدا می شود. این موضوع به صورت موردی توسط تیم ما مشخص می شود. این موارد شامل موارد زیر است:

  • بهبود پیکربندی سرور
  • تنظیمات فایروال
  • محافظت از DoS / DDoS بهبود یافته است
  • مسیر / افشای اطلاعات

آسیب پذیری های غیر واجد شرایط

  • نقص هایی که بر روی مرورگرهای تاریخ تأثیر بگذارند (متأسفیم ، مشکلات امنیتی IE6 واجد شرایط نیستند)
  • مسائل امنیتی خارج از محدوده مدل تهدید ProtonVPN است
  • حملات فیشینگ یا مهندسی اجتماعی
  • اشکالات نیاز به تعامل بسیار بعید بعید است
  • اشکالات WordPress (اما لطفاً آن را به WordPress گزارش دهید)
  • نرم افزار قدیمی – به دلایل مختلف ، ما همیشه جدیدترین نسخه های نرم افزار را اجرا نمی کنیم ، اما نرم افزاری را اجرا می کنیم که کاملاً ضبط شده باشد
  • اشکالات نرم افزار در OpenVPN یا IKEv2 (اما لطفا آنها را به نویسندگان خود گزارش دهید)

مبلغ پاداش

اندازه فوایدی که پرداخت می کنیم به صورت قضایی تعیین می شود و تا حد زیادی به شدت موضوع بستگی دارد. برای اینکه به شما یک جایزه اهدا شود ، معمولاً باید باشید اولین کسی که یک مسئله را گزارش می کند, اگرچه بعضی اوقات استثنائاتی انجام می شود. دستورالعمل های خیرخواهانه در بخش زیر ارائه شده است:

آسیب پذیری های سرور و برنامه های ناچیز که داده های کاربر یا حریم خصوصی را به خطر نمی اندازند: 50 دلار
آسیب پذیری هایی که می توانند به فساد داده منجر شوند: 200 دلار
آسیب پذیری هایی که می تواند منجر به افشای اطلاعات کاربر شود یا حریم شخصی کاربران را به خطر بیندازد: 1000 دلار+
حداکثر پاداش: 10،000 دلار

دستورالعمل گزارش

لطفاً مشکلات را گزارش کنید [email protected]. موضوعات باید با دستورالعمل های روشن در مورد نحوه تکثیر مسئله و یا اثبات مفهوم گزارش شوند.

با احترام,
تیم فناوری های پروتون

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map