การรักษาความปลอดภัยของ ProtonVPN

เช่นเดียวกับ ProtonMail เราได้สร้าง ProtonVPN โดยเน้นความปลอดภัย วันนี้เรากำลังเปิดตัว Bug Bounty Program เพื่อเสริมความปลอดภัยของ ProtonVPN.

ในการใช้งานบริการ VPN จำเป็นต้องมีการรักษาความปลอดภัยไม่เพียง แต่สำหรับการเชื่อมต่อ VPN และโปรโตคอลเท่านั้น ความปลอดภัยเป็นสิ่งจำเป็นสำหรับโครงสร้างพื้นฐานเซิร์ฟเวอร์หน้าเว็บและแดชบอร์ดแอปพลิเคชัน VPN เองระบบการชำระเงินและฐานข้อมูลผู้ใช้ เพื่อปกป้องความเป็นส่วนตัวของผู้ใช้อย่างเหมาะสมเราจำเป็นต้องปกป้องทุกด้านของบริการจากการประนีประนอม.


ในการสร้าง ProtonVPN เราได้รวบรวมความเชี่ยวชาญด้านความปลอดภัยที่ได้รับจากการใช้บริการอีเมลที่ปลอดภัยที่สุดที่ใหญ่ที่สุดในโลก เรายังทำงานร่วมกับผู้สนับสนุนด้านความปลอดภัยของ ProtonMail และชุมชนในวงกว้างในการเสริมสร้างความเข้มแข็งในทุกด้านของ ProtonVPN เมื่อเร็ว ๆ นี้เราได้ทำงานร่วมกับผู้ให้การรักษาความปลอดภัย ProtonMail เป็นเวลานาน Mazin Ahmed เพื่อทำการตรวจสอบความปลอดภัยที่ครอบคลุมของ ProtonVPN และเพิ่มการแข็งตัวเพิ่มเติม.

ของเรา โปรแกรมรางวัลบั๊ก ช่วยให้เราสามารถขยายงานที่เราทำอยู่ทุกวันเพื่อปกป้องผู้ใช้ ProtonVPN ด้วยเหตุนี้ตอนนี้ที่ ProtonVPN เปิดตัวอย่างเป็นทางการหนึ่งในสิ่งแรกที่เราทำคือเปิดตัวโปรแกรม ProtonVPN Bug Bounty ด้วยโปรแกรมนี้เรากำลังเชิญ ผู้เชี่ยวชาญด้านความปลอดภัยจากทั่วโลกพยายามค้นหาจุดอ่อนภายใน ProtonVPN, และเราจะจ่ายรางวัล (เงินรางวัล) สำหรับปัญหาด้านความปลอดภัยซึ่งรายงานให้เราทราบผ่านโปรแกรมนี้ หากคุณเป็นนักวิจัยด้านความปลอดภัยคุณสามารถเข้าร่วมโปรแกรม ProtonMail Bug Bounty.

โปรแกรม ProtonVPN Bug Bounty

กฎระเบียบ

ขอบเขต: โปรแกรม จำกัด เฉพาะเซิร์ฟเวอร์และเว็บเดสก์ท็อปและแอปพลิเคชั่นมือถือที่ดำเนินการโดย ProtonVPN โปรไฟล์ของเราใน Facebook, Twitter, Linkedin, Eventbrite และอื่น ๆ ไม่มีคุณสมบัติ ไซต์ที่ผ่านการรับรองรวมถึง:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [บันทึก: .ch และไม่ใช่. com]

แอปพลิเคชั่น ProtonVPN บน Windows, MacOS, Linux, iOS และ Android รวมอยู่ในโปรแกรมนี้ด้วย.

ตัดสิน: คณะกรรมการตัดสินตัดสินรางวัลประกอบด้วยนักพัฒนา ProtonVPN และ ProtonMail ที่ได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกหนึ่งคนหรือมากกว่านั้นซึ่งเป็นส่วนหนึ่งของกลุ่มความปลอดภัยของเรา ผู้เข้าร่วมโครงการตกลงที่จะเคารพการตัดสินใจขั้นสุดท้ายของผู้พิพากษา.

การเปิดเผยความรับผิดชอบ: เราขอให้มีการรายงานช่องโหว่ทั้งหมดถึงเราที่ [email protected]. เราเชื่อว่าเป็นการขัดต่อจิตวิญญาณของโปรแกรมนี้ที่จะเปิดเผยข้อบกพร่องแก่บุคคลที่สามเพื่อจุดประสงค์อื่นนอกเหนือจากการแก้ไขข้อบกพร่อง. ผู้เข้าร่วมตกลงที่จะไม่เปิดเผยข้อบกพร่องที่พบจนกว่าจะได้รับการแก้ไขแล้ว และประสานงานการเปิดเผยกับทีมงานของเราผ่านบันทึกประจำรุ่นเพื่อหลีกเลี่ยงความสับสน.

การทดสอบความรับผิดชอบ:  โปรดอย่าแฮ็คบัญชีผู้ใช้ฐานข้อมูลที่เสียหายหรือข้อมูลการรั่วไหลที่อาจมีความละเอียดอ่อน นอกจากนี้เรายังไม่สนับสนุนการทดสอบช่องโหว่ที่ทำให้คุณภาพการบริการลดลงสำหรับผู้ใช้ของเรา หากมีข้อสงสัยโปรดติดต่อทีมรักษาความปลอดภัยของเราที่ [email protected]

การปฏิบัติตามกฎ: โดยการเข้าร่วมในโปรแกรมนี้คุณตกลงที่จะปฏิบัติตามกฎและเงื่อนไขข้างต้น กฎทั้งหมดจะต้องปฏิบัติตามเพื่อให้มีสิทธิ์ได้รับรางวัล.

ช่องโหว่ที่มีคุณสมบัติตามที่กำหนด

ปัญหาการออกแบบหรือการใช้งานใด ๆ ที่ส่งผลกระทบอย่างมีนัยสำคัญต่อการรักษาความลับหรือความสมบูรณ์ของข้อมูลผู้ใช้มีแนวโน้มที่จะอยู่ในขอบเขตของโปรแกรม ซึ่งรวมถึง แต่ไม่ จำกัด เฉพาะ:

แอปพลิเคชั่นเว็บ

  • การเขียนสคริปต์ข้ามไซต์
  • การปลอมแปลงคำขอข้ามไซต์
  • สคริปต์แบบผสมเนื้อหา
  • การรับรองความถูกต้องหรือข้อบกพร่องการอนุญาต
  • บักการเรียกใช้โค้ดฝั่งเซิร์ฟเวอร์
  • ช่องโหว่ REST API

เซิร์ฟเวอร์

  • การเข้าถึงเปลือกที่ไม่ได้รับอนุญาต
  • การเพิ่มระดับสิทธิ์
  • การเรียกใช้รหัสระยะไกล

การประยุกต์ใช้งาน

  • การรับรองความถูกต้องหรือข้อบกพร่องการอนุญาต
  • การละเมิดความปลอดภัยข้อมูลท้องถิ่น (โดยไม่ต้องรูท)

เราเชื่อในการทำงานอย่างใกล้ชิดกับนักวิจัยด้านความปลอดภัยและยินดีที่จะแบ่งปันรายละเอียดทางเทคนิคเช่นข้อมูลจำเพาะ API, ซอร์สโค้ดหรือรายละเอียดโครงสร้างพื้นฐานกับนักวิจัยที่ได้รับการคัดเลือกโดยมีวัตถุประสงค์เพื่อปรับปรุงความปลอดภัยสำหรับผู้ใช้ ProtonMail ทั้งหมด โปรดติดต่อ [email protected] สำหรับรายละเอียดเพิ่มเติม.

การปรับปรุงที่มีคุณสมบัติเหมาะสม

บางครั้งอาจมีการมอบรางวัลสำหรับคำแนะนำในการปรับปรุงซึ่งจะไม่จัดอยู่ในหมวดหมู่ใด ๆ ข้างต้น สิ่งนี้จะพิจารณาเป็นรายกรณีโดยทีมงานของเรา รวมถึงสิ่งต่าง ๆ เช่น:

  • การปรับปรุงการกำหนดค่าเซิร์ฟเวอร์
  • การกำหนดค่าไฟร์วอลล์
  • ปรับปรุงการป้องกัน DoS / DDoS
  • การเปิดเผยเส้นทาง / ข้อมูล

ช่องโหว่ที่ไม่มีคุณสมบัติ

  • ข้อบกพร่องที่ส่งผลต่อเบราว์เซอร์ที่ล้าสมัย (ขออภัยปัญหาความปลอดภัยของ IE6 ไม่มีคุณสมบัติ)
  • ปัญหาด้านความปลอดภัยที่อยู่นอกขอบเขตของรูปแบบการคุกคามของ ProtonVPN
  • การโจมตีแบบฟิชชิ่งหรือวิศวกรรมทางสังคม
  • บักต้องมีปฏิสัมพันธ์กับผู้ใช้ที่ไม่น่าจะเกิดขึ้น
  • ข้อบกพร่องของ WordPress (แต่โปรดรายงานสิ่งเหล่านั้นแก่ WordPress)
  • ซอฟต์แวร์ที่ล้าสมัย – ด้วยเหตุผลหลายประการเราไม่ได้ใช้งานซอฟต์แวร์รุ่นล่าสุดเสมอไป แต่เราจะเรียกใช้ซอฟต์แวร์ที่ได้รับการติดตั้งอย่างสมบูรณ์
  • ข้อบกพร่องของซอฟต์แวร์ใน OpenVPN หรือ IKEv2 (แต่โปรดรายงานให้ผู้เขียนทราบ)

จำนวนเงินรางวัล

ขนาดของเงินรางวัลที่เราจ่ายจะถูกกำหนดเป็นกรณี ๆ ไปและขึ้นอยู่กับความรุนแรงของปัญหาเป็นหลัก ในการรับรางวัลโปรดปรานคุณมักจะต้องเป็น บุคคลแรกที่รายงานปัญหา, แม้ว่าบางครั้งจะมีข้อยกเว้น แนวทางการให้รางวัลอย่างคร่าวๆมีดังต่อไปนี้:

เซิร์ฟเวอร์เล็กและช่องโหว่ของแอพที่ไม่ประนีประนอมข้อมูลผู้ใช้หรือความเป็นส่วนตัว: $ 50
ช่องโหว่ที่อาจนำไปสู่ความเสียหายของข้อมูล: $ 200
ช่องโหว่ที่อาจนำไปสู่การเปิดเผยข้อมูลผู้ใช้หรือทำให้เกิดความเป็นส่วนตัวของผู้ใช้: $ 1,000+
เงินรางวัลสูงสุด: $ 10,000

แนวทางการรายงาน

กรุณารายงานปัญหาไปที่ [email protected]. ควรรายงานปัญหาพร้อมคำแนะนำที่ชัดเจนเกี่ยวกับวิธีการทำให้เกิดปัญหาและ / หรือการพิสูจน์แนวคิด.

ขอแสดงความนับถืออย่างสูง,
ทีมเทคโนโลยีโปรตอน

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me