الحفاظ على تأمين ProtonVPN

كما هو الحال مع ProtonMail ، قمنا ببناء ProtonVPN مع التركيز على الأمان. اليوم ، نطلق برنامج Bug Bounty لتعزيز أمان ProtonVPN.

عند تشغيل خدمة VPN ، يكون الأمان مطلوبًا ليس فقط لاتصالات وبروتوكولات VPN نفسها. الأمان مطلوب أيضًا للبنية الأساسية للخادم الأساسي وصفحات الويب ولوحات المعلومات وتطبيقات VPN نفسها ونظام الدفع وقواعد بيانات المستخدم أيضًا. لحماية خصوصية المستخدم بشكل صحيح ، نحتاج إلى حماية جميع جوانب الخدمة من الاختراق.


في بناء ProtonVPN ، اعتمدنا على الخبرة الأمنية التي اكتسبناها من تشغيل أكبر خدمة بريد إلكتروني آمنة في العالم. لقد عملنا أيضًا مع المساهمين في أمن ProtonMail والمجتمع الأوسع على تعزيز جميع جوانب ProtonVPN. لقد عملنا مؤخرًا مع مساهم أمان ProtonMail منذ فترة طويلة مازن أحمد لإكمال تدقيق أمني شامل لـ ProtonVPN وإضافة تقوية إضافية.

لنا برنامج باونتي باغ يسمح لنا بتوسيع العمل الذي نقوم به بالفعل على أساس يومي لحماية مستخدمي ProtonVPN. لهذا السبب ، الآن بعد أن أطلقت ProtonVPN رسميًا ، فإن أحد أول الأشياء التي نقوم بها هو إطلاق برنامج ProtonVPN Bug Bounty. مع هذا البرنامج ، نحن ندعو خبراء الأمن من جميع أنحاء العالم في محاولة للعثور على نقاط الضعف داخل ProtonVPN, وسندفع مكافآت (مكافآت) للمشكلات الأمنية التي يتم إبلاغنا بها من خلال هذا البرنامج. إذا كنت باحثًا في مجال الأمن ، يمكنك أيضًا المشاركة في برنامج ProtonMail Bug Bounty.

برنامج ProtonVPN Bug Bounty

قواعد

نطاق: يقتصر البرنامج على الخوادم وتطبيقات الويب وسطح المكتب والهاتف المحمول التي تديرها ProtonVPN. ملفات التعريف الخاصة بنا على Facebook و Twitter و Linkedin و Eventbrite وما إلى ذلك غير مؤهلة. تشمل المواقع المؤهلة:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [ملحوظة: .ch وليس .com.

يتم تضمين تطبيقات ProtonVPN على أنظمة التشغيل Windows و MacOS و Linux و iOS و Android أيضًا في هذا البرنامج.

الحكم: تتكون لجنة التحكيم لتحديد الجوائز من مطوري ProtonVPN و ProtonMail بمساعدة واحد أو أكثر من الخبراء الخارجيين الذين هم جزء من مجموعة الأمان الخاصة بنا. يوافق المشاركون في البرنامج على احترام القرار النهائي الذي اتخذه القضاة.

الإفشاء المسؤول: نطلب إبلاغنا عن جميع الثغرات على [email protected]. نعتقد أنه ضد روح هذا البرنامج الكشف عن الخلل لأطراف ثالثة لأغراض غير إصلاح الخلل فعليًا. يوافق المشاركون على عدم الكشف عن الأخطاء التي تم العثور عليها إلا بعد إصلاحها وتنسيق الإفصاح مع فريقنا من خلال ملاحظات الإصدار لتجنب الارتباك.

الاختبار المسؤول:  يرجى عدم اختراق حسابات المستخدمين أو قواعد البيانات الفاسدة أو تسرب البيانات التي قد تكون حساسة. كما أننا لا نشجع اختبار الثغرات الأمنية الذي يقلل من جودة الخدمة لمستخدمينا. إذا كنت في شك ، فلا تتردد في الاتصال بفريق الأمن على [email protected]

الالتزام بالقواعد: من خلال المشاركة في هذا البرنامج ، فإنك توافق على الالتزام بالقواعد والشروط المذكورة أعلاه. يجب اتباع جميع القواعد لتكون مؤهلة للحصول على جوائز.

نقاط الضعف المؤهلة

من المحتمل أن تكون أي مشكلة في التصميم أو التنفيذ تؤثر بشكل كبير على سرية أو سلامة بيانات المستخدم في نطاق البرنامج. يشمل هذا ، على سبيل المثال لا الحصر:

تطبيقات الويب

  • عبر موقع البرمجة
  • تزوير عبر الموقع
  • نصوص ذات محتوى مختلط
  • عيوب المصادقة أو التخويل
  • أخطاء تنفيذ التعليمات البرمجية من جانب الخادم
  • ثغرات REST API

الخادم

  • وصول غير مصرح به على shell
  • التصعيد امتياز
  • تنفيذ التعليمات البرمجية عن بعد

التطبيقات

  • عيوب المصادقة أو التخويل
  • خرق أمن البيانات المحلية (بدون تأصيل)

نحن نؤمن بالعمل عن كثب مع باحثي الأمن ونرغب في مشاركة التفاصيل الفنية مثل مواصفات واجهة برمجة التطبيقات أو شفرة المصدر أو تفاصيل البنية التحتية مع باحثين مختارين بهدف تحسين الأمان لجميع مستخدمي ProtonMail. الرجاء التواصل [email protected] لمزيد من التفاصيل.

التحسينات المؤهلة

في بعض الأحيان ، يتم منح المكافآت لاقتراحات التحسين التي لا تندرج في أي من الفئات المذكورة أعلاه. يتم تحديد ذلك على أساس كل حالة على حدة من قبل فريقنا. وتشمل هذه الأشياء مثل:

  • تحسينات تكوين الخادم
  • تكوينات جدار الحماية
  • تحسين إجراءات DoS / DDoS
  • الكشف عن المسار / المعلومات

نقاط الضعف غير المؤهلة

  • العيوب التي تؤثر على المتصفحات القديمة (عذرًا ، مشكلات الأمان IE6 غير مؤهلة)
  • مشاكل أمنية خارج نطاق نموذج تهديد ProtonVPN
  • التصيد الاحتيالي أو هجمات الهندسة الاجتماعية
  • الأخطاء التي تتطلب تفاعلات المستخدم غير المحتملة للغاية
  • أخطاء WordPress (ولكن يرجى إبلاغ WordPress عنها)
  • برنامج قديم – لأسباب متنوعة ، لا نقوم دائمًا بتشغيل أحدث إصدارات البرامج ، ولكننا نقوم بتشغيل برنامج تم تصحيحه بالكامل
  • أخطاء البرامج في OpenVPN أو IKEv2 (ولكن يرجى إبلاغ مؤلفيها)

مبالغ المكافأة

يتم تحديد حجم المكافأة التي ندفعها على أساس كل حالة على حدة ويعتمد إلى حد كبير على شدة المشكلة. للحصول على مكافأة ، تحتاج عادة إلى ذلك أول شخص يبلغ عن مشكلة, على الرغم من وجود استثناءات في بعض الأحيان. يتم توفير إرشادات المكافآت الخشنة أدناه:

ثغرات طفيفة في الخادم والتطبيق لا تضر ببيانات المستخدم أو الخصوصية: 50 دولارًا
نقاط الضعف التي يمكن أن تؤدي إلى تلف البيانات: 200 دولار
نقاط الضعف التي يمكن أن تؤدي إلى الكشف عن بيانات المستخدم أو تعريض خصوصية المستخدم للخطر: 1،000 دولار+
الحد الأقصى للمكافأة: 10000 دولار

إرشادات إعداد التقارير

يرجى الإبلاغ عن المشاكل ل [email protected]. يجب الإبلاغ عن المشكلات بتعليمات واضحة حول كيفية إعادة إنتاج المشكلة و / أو إثبات المفهوم.

تحياتي الحارة,
فريق بروتون تكنولوجيز

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map