ProtonVPNを安全に保つ

ProtonMailと同様に、セキュリティを重視してProtonVPNを構築しました。本日、ProtonVPNのセキュリティをさらに強化するために、Bug Bounty Programを開始します.

VPNサービスの運用には、VPN接続やプロトコル自体だけでなく、セキュリティも必要です。基盤となるサーバーインフラストラクチャ、Webページとダッシュボード、VPNアプリケーション自体、支払いシステム、およびユーザーデータベースにもセキュリティが必要です。ユーザーのプライバシーを適切に保護するには、サービスのあらゆる側面を侵害から保護する必要があります.


ProtonVPNの構築では、世界最大の安全な電子メールサービスを実行することで得たセキュリティの専門知識を利用しました。また、ProtonMailのセキュリティコントリビューターや幅広いコミュニティと協力して、ProtonVPNのすべての側面を強化しています。最近、私たちは長い間ProtonMailセキュリティコントリビューターのMazin Ahmedと協力して、ProtonVPNの包括的なセキュリティ監査を完了し、強化を追加しました.

私たちの バグ報奨金プログラム ProtonVPNユーザーを保護するために、すでに日常的に行っている作業を拡張することができます。このため、ProtonVPNが正式にリリースされた今、私たちが最初に行っていることの1つは、ProtonVPNバグバウンティプログラムを開始することです。このプログラムでは、 ProtonVPN内の弱点を見つけようとする世界中のセキュリティ専門家, このプログラムを通じて報告されたセキュリティ問題に対して報酬(報奨金)を支払います。セキュリティ研究者であれば、ProtonMailバグバウンティプログラムに参加することもできます。.

ProtonVPNバグバウンティプログラム

ルール

範囲: プログラムは、ProtonVPNによって実行されるサーバーおよびWeb、デスクトップ、モバイルアプリケーションに限定されます。 Facebook、Twitter、Linkedin、Eventbriteなどの私たちのプロフィールは対象外です。対象サイトは次のとおりです。

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [注意:.chではなく.com]

Windows、MacOS、Linux、iOS、AndroidのProtonVPNアプリケーションもこのプログラムに含まれています.

審査: 賞を決定するための審査パネルは、セキュリティグループの一部である1人以上の外部の専門家によって支援されたProtonVPNおよびProtonMail開発者で構成されています。プログラム参加者は、審査員による最終決定を尊重することに同意します.

責任ある開示: すべての脆弱性を次の場所で報告してください [email protected]. 実際にバグを修正する以外の目的で欠陥を第三者に開示することは、このプログラムの精神に反すると私たちは信じています. 参加者は、見つかったバグが修正されるまで開示しないことに同意する 混乱を避けるために、リリースノートを通じてチームとの開示を調整する.

責任あるテスト:  ユーザーアカウントをハッキングしたり、データベースを破損したり、機密性の高いデータを漏洩したりしないでください。また、ユーザーのサービス品質を低下させる脆弱性テストも推奨していません。疑問がある場合は、security @ protonvpn.comでセキュリティチームにご連絡ください。.

ルールの順守: このプログラムに参加することにより、上記のルールと条件を順守することに同意したことになります。アワードの資格を得るには、すべてのルールに従う必要があります.

適格な脆弱性

ユーザーデータの機密性または整合性に大きな影響を与える設計または実装の問題は、プログラムの対象となる可能性があります。これには以下が含まれますが、これらに限定されません。

Webアプリケーション

  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • 混合コンテンツスクリプト
  • 認証または承認の欠陥
  • サーバー側のコード実行のバグ
  • REST APIの脆弱性

サーバ

  • 不正なシェルアクセス
  • 特権エスカレーション
  • リモートコード実行

用途

  • 認証または承認の欠陥
  • ローカルデータセキュリティ違反(ルート化なし)

私たちはセキュリティ研究者と緊密に協力することを信じており、すべてのProtonMailユーザーのセキュリティを向上させることを目的として、API仕様、ソースコード、インフラストラクチャの詳細などの技術的な詳細を特定の研究者と共有することをいといません。お問い合わせください [email protected] 詳細については.

適格な改善

上記のどのカテゴリにも該当しない改善の提案に対して賞金が授与される場合があります。これは、私たちのチームがケースバイケースで決定します。これには次のようなものが含まれます。

  • サーバー構成の改善
  • ファイアウォール構成
  • DoS / DDoSセーフガードの改善
  • パス/情報開示

認定されていない脆弱性

  • 古いブラウザに影響を与える欠陥(申し訳ありませんが、IE6のセキュリティ問題は対象外です)
  • ProtonVPNの脅威モデルの範囲外のセキュリティ問題
  • フィッシングまたはソーシャルエンジニアリング攻撃
  • ありそうもないユーザー操作を必要とするバグ
  • WordPressのバグ(ただし、WordPressにバグを報告してください)
  • 古いソフトウェア–さまざまな理由により、常に最新のソフトウェアバージョンを実行しているわけではありませんが、完全にパッチが適用されたソフトウェアを実行しています
  • OpenVPNまたはIKEv2のソフトウェアのバグ(ただし、作成者に報告してください)

報酬額

私たちが支払う報奨金の額はケースバイケースで決定され、主に問題の深刻度によって異なります。賞金を獲得するには、通常、 最初に問題を報告した人, ただし、例外が発生することもあります。大まかな報奨金のガイドラインを以下に示します。

ユーザーデータやプライバシーを侵害しないサーバーとアプリのマイナーな脆弱性:$ 50
データの破損につながる脆弱性:200ドル
ユーザーデータの開示につながる、またはユーザーのプライバシーを危険にさらす可能性のある脆弱性:$ 1,000+
最大賞金:$ 10,000

報告ガイドライン

に問題を報告してください [email protected]. 問題は、問題の再現方法や概念実証、あるいはその両方の明確な指示とともに報告する必要があります。.

宜しくお願いします,
プロトンテクノロジーチーム

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map