שמירה על ProtonVPN מאובטח

כמו עם ProtonMail, בנינו את ProtonVPN עם דגש על אבטחה. כיום אנו משיקים תוכנית באג באונטי כדי לשפר עוד יותר את האבטחה של ProtonVPN.

בהפעלת שירות VPN, אבטחה נדרשת לא רק עבור חיבורי ה- VPN והפרוטוקולים עצמם. דרוש אבטחה גם לתשתית השרת הבסיסית, לדפי האינטרנט ולוחות המחוונים, ליישומי VPN עצמם, למערכת התשלומים, וגם למאגרי המידע של המשתמשים. כדי להגן על פרטיות המשתמש כראוי, עלינו להגן על כל היבטי השירות מפני פשרה.


בבניית ProtonVPN, שאבנו את מומחיות האבטחה שרכשנו מהפעלת שירות הדוא”ל המאובטח הגדול בעולם. עבדנו גם יחד עם תורמי אבטחה של ProtonMail והקהילה הרחבה יותר לחיזוק כל ההיבטים של ProtonVPN. לאחרונה עבדנו יחד עם תורם האבטחה של ProtonMail מאזין אחמד כדי להשלים ביקורת אבטחה מקיפה של ProtonVPN ולהוסיף התקשות נוספות..

שלנו תוכנית באונטי באג מאפשר לנו להרחיב את העבודה שאנו כבר עושים על בסיס יומיומי כדי להגן על משתמשי ProtonVPN. מסיבה זו, כעת, לאחר ש- ProtonVPN השיקה רשמית, אחד הדברים הראשונים שאנו עושים הוא השקת תוכנית ProtonVPN Bug Bounty. עם התוכנית הזו אנו מזמינים מומחי אבטחה מרחבי העולם כדי לנסות למצוא חולשות בתוך ProtonVPN, ואנחנו נשלם תגמולים (תגמולים) בגין בעיות אבטחה המדווחות לנו באמצעות תוכנית זו. אם אתה חוקר אבטחה, אתה יכול גם להשתתף בתוכנית באג באונטי ProtonMail.

ProtonVPN באג באונטי תוכנית

חוקים

היקף: התוכנית מוגבלת לשרתים ולאפליקציות האינטרנט, שולחן העבודה והמובייל המנוהלים על ידי ProtonVPN. הפרופילים שלנו בפייסבוק, טוויטר, Linkedin, Eventbrite וכו ‘אינם זכאים. אתרים המאושרים כוללים:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [פתק: .ch ולא. Com]

יישומי ProtonVPN ב- Windows, MacOS, Linux, iOS ואנדרואיד כלולים גם בתוכנית זו.

אם לשפוט: פאנל השיפוט לקביעת פרסים מורכב ממפתחי ProtonVPN ו- ProtonMail בסיוע מומחה חיצוני אחד או יותר שהם חלק מקבוצת האבטחה שלנו. משתתפי התוכנית מסכימים לכבד את ההחלטה הסופית שקיבלו השופטים.

גילוי נאות: אנו מבקשים לדווח לנו על כל הפגיעויות בכתובת [email protected]. אנו מאמינים שזה מנוגד לרוח של תוכנית זו לחשוף את הפגם לצדדים שלישיים למטרות שאינן תיקון בפועל. המשתתפים מסכימים שלא לחשוף באגים שנמצאו עד לאחר שתוקנו ולתאם את הגילוי עם הצוות שלנו באמצעות הערות השחרור שלנו כדי למנוע בלבול.

בדיקות אחראיות:  אנא אל תפרוץ חשבונות משתמש, מסדי נתונים פגומים או דליפת נתונים שעלולים להיות רגישים. אנו גם מרתיעים את בדיקת הפגיעות המשפילה את איכות השירות למשתמשים שלנו. אם יש ספק, אל תהסס לפנות לצוות האבטחה שלנו בכתובת [email protected]

הקפדה על כללים: על ידי השתתפות בתוכנית זו אתה מסכים לדבוק בכללים והתנאים לעיל. יש להקפיד על כל הכללים כדי להיות זכאים לפרסים.

פגיעויות מתאימות

כל נושא תכנון או יישום המשפיע באופן מהותי על סודיותם או שלמותם של נתוני המשתמש עשוי להיות בהיקף התוכנית. זה כולל, אך אינו מוגבל ל:

יישומי אינטרנט

  • סקריפטים חוצה אתרים
  • זיוף בקשה בשטח
  • סקריפטים עם תוכן מעורב
  • פגמים באימות או בהרשאה
  • באגים לביצוע קוד בצד השרת
  • פגיעויות ב- REST API

שרת

  • גישה לא מורשית למעטפת
  • הסלמת הרשאות
  • ביצוע קוד מרחוק

יישומים

  • פגמים באימות או בהרשאה
  • הפרת אבטחת מידע מקומית (ללא השתרשות)

אנו מאמינים בעבודה צמודה עם חוקרי אבטחה ומוכנים לחלוק פרטים טכניים כמו מפרטי API, קוד מקור או פרטי תשתית עם חוקרים נבחרים במטרה לשפר את האבטחה עבור כל משתמשי ProtonMail. אנא צור קשר [email protected] לפרטים נוספים.

שיפורים מתאימים

לפעמים מוענקים שכר כסף על הצעות לשיפור שאינן נכללות באף אחת מהקטגוריות שלעיל. זה נקבע כל מקרה לגופו על ידי הצוות שלנו. אלה כוללים דברים כמו:

  • שיפורי תצורת שרתים
  • תצורות חומת אש
  • אמצעי הגנה משופרים של DoS / DDoS
  • נתיב / גילוי מידע

נקודות תורפה שאינן מתאימות

  • פגמים המשפיעים על דפדפני תאריך עדכני (סליחה, בעיות אבטחה של IE6 אינן כשירות)
  • סוגיות אבטחה מחוץ למודל האיום של ProtonVPN
  • התקפות דיוג או הנדסה חברתית
  • באגים הדורשים אינטראקציות משתמש בלתי סבירות במיוחד
  • באגים של וורדפרס (אך אנא דווח על אלה ל- WordPress)
  • תוכנה מיושנת – מסיבות שונות ומגוונות, אנו לא תמיד מריצים את גרסאות התוכנה העדכניות ביותר, אך אנו מפעילים תוכנה שמטופלת במלואה.
  • באגי תוכנה ב- OpenVPN או IKEv2 (אך אנא דווח למחברים שלהם)

סכומי תגמול

גודל השובר שאנו משלמים נקבע לפי מקרה לגופו, תלוי במידה רבה בחומרת הגיליון. כדי שתוענק לך שכר, אתה בדרך כלל צריך להיות כזה האדם הראשון שדיווח על בעיה, אם כי לפעמים נעשים חריגים. להלן הנחיות בנושא השפע הגס.

פגיעויות שרתים ואפליקציות קלות שאינן פוגעות בנתוני המשתמש או בפרטיות: 50 $
פגיעויות שעלולות להוביל לשחיתות נתונים: 200 $
פגיעויות שיכולות להביא לחשיפת נתוני משתמשים או לסכן את פרטיות המשתמשים: 1,000 דולר+
השפע המקסימלי: 10,000 $

הנחיות דיווח

אנא דווח על בעיות [email protected]. יש לדווח על סוגיות עם הוראות ברורות כיצד לשחזר את הבעיה ו / או הוכחת מושג.

כל טוב,
צוות טכנולוגיות פרוטון

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map