Чување заштите ПротонВПН-а

Као и код ПротонМаил-а, и ми смо изградили ПротонВПН са нагласком на безбедности. Данас покрећемо програм Буг Боунти ради додатног унапређења сигурности ПротонВПН-а.

У раду са ВПН услугом, безбедност је потребна не само за ВПН везе и саме протоколе. Сигурност је такођер потребна за основну серверску инфраструктуру, веб странице и надзорне плоче, саме ВПН апликације, платни систем, као и корисничке базе података. Да бисмо правилно заштитили приватност корисника, морамо да заштитимо све аспекте услуге од компромиса.


У изради ПротонВПН-а ослањали смо се на сигурносну експертизу коју смо стекли руковођењем највеће светске безбедне услуге е-поште. Такође сарађујемо са доприносиоцима сигурности ПротонМаил-а и широј заједницом на јачању свих аспеката ПротонВПН-а. Недавно смо радили заједно са дугогодишњим сарадником ПротонМаил-ове сигурности Мазин Ахмедом како бисмо завршили свеобухватну безбедносну ревизију ПротонВПН-а и додали додатно учвршћивање.

Наш програм за буг боунти омогућава нам да свакодневно проширимо посао који већ радимо на заштити ПротонВПН корисника. Из тог разлога, сада када је ПротонВПН званично представљен, једна од првих ствари коју радимо је покретање ПротонВПН програма за обраду грешака. Са овим програмом позивамо стручњаци за безбедност из целог света да покушају да пронађу слабости унутар ПротонВПН-а, а ми ћемо исплаћивати награде (награде) за безбедносна питања која су нам пријављена кроз овај програм. Ако сте истраживач безбедности, такође можете учествовати у ПротонМаил програму за утврђивање грешака.

ПрограмВПН програм за обраду грешака

Правила

Обим: Програм је ограничен на сервере и веб, десктоп и мобилне апликације које покреће ПротонВПН. Наши профили на Фацебооку, Твиттеру, Линкедину, Евентбриту итд. Не испуњавају услове. Квалификационе странице укључују:

  • протонвпн.цом
  • аццоунт.протонвпн.цом
  • апи.протонвпн.цх [Белешка: .цх а не .цом]

ПротонВПН апликације за Виндовс, МацОС, Линук, иОС и Андроид су такође укључене у овај програм.

Оцјењивање: Комисија за оцењивање награда састоји се од ПротонВПН и ПротонМаил програмера уз помоћ једног или више спољних стручњака који су део наше безбедносне групе. Учесници програма су сагласни да поштују коначну одлуку судија.

Одговорно обелодањивање: Тражимо да нам се пријаве све рањивости на сецурити@протонвпн.цом. Вјерујемо да је против духа овог програма да откријете пропуст трећим лицима у друге сврхе, а не само исправљање грешке. Учесници су сагласни да неће открити пронађене грешке тек након што буду исправљени те да координирамо откривање с нашим тимом путем наших биљешки за пуштање да не би дошло до забуне.

Одговорно тестирање:  Немојте хаковати корисничке рачуне, корумпиране базе података или нетезати податке који могу бити осетљиви. Такође обесхрабрујемо тестирање рањивости које деградира квалитет услуге за наше кориснике. Ако имате сумње, слободно се обратите нашем тиму за безбедност на сецурити@протонвпн.цом.

Придржавање правила: Учешћем у овом програму пристајете да се придржавате горе наведених правила и услова. Сва правила морају се поштовати да би била подобна за награде.

Квалификовање рањивости

Било који проблем дизајна или имплементације који битно утиче на поверљивост или интегритет корисничких података вероватно ће бити обухваћен програмом. То укључује, али није ограничено на:

Веб апликације

  • Скрипта на више места
  • Кривотворење захтева на више страна
  • Скрипте за мешовити садржај
  • Грешке у аутентификацији или ауторизацији
  • Грешке у извршавању кода на страни сервера
  • РЕСТ АПИ рањивости

Сервер

  • Неовлашћени приступ шкољци
  • Ескалација привилегија
  • Даљинско извршење кода

Апликације

  • Грешке у аутентификацији или ауторизацији
  • Кршење сигурности локалних података (без укоријењења)

Верујемо да блиско сарађујемо са истраживачима безбедности и вољни смо да делимо техничке детаље као што су спецификације АПИ-ја, изворни код или детаљи инфраструктуре са одабраним истраживачима у циљу побољшања сигурности за све кориснике ПротонМаил-а. Контактирајте сецурити@протонвпн.цом За више детаља.

Квалификациона побољшања

Понекад се награде дају за предлоге за побољшање који не спадају у ниједну од горе наведених категорија. То одређује појединачно за сваки случај. То укључује ствари као што су:

  • Побољшања конфигурације сервера
  • Конфигурације заштитног зида
  • Побољшане ДоС / ДДоС заштитне мере
  • Стаза / обелодањивање информација

Неквалифицирајуће рањивости

  • Грешке које утичу на застареле прегледаче (извините, проблеми са безбедношћу ИЕ6 не испуњавају услове)
  • Питања безбедности изван обима модела претњи ПротонВПН-а
  • Пхисхинг или напади друштвеног инжењеринга
  • Грешке које захтевају врло мало вероватне интеракције корисника
  • ВордПресс грешке (али пријавите их ВордПрессу)
  • Застарели софтвер – Из различитих разлога, не покрећемо увек најновије верзије софтвера, али радимо софтвер који је у потпуности закрпан
  • Софтверске грешке у ОпенВПН или ИКЕв2 (али их пријавите својим ауторима)

Износи награде

Величина улоге коју исплаћујемо одређује се од случаја до случаја и у великој мери зависи од озбиљности емисије. Да бисте добили награду, обично морате бити прва особа која је пријавила проблем, иако се понекад праве изузеци. Грубе смернице за богатство дате су у наставку:

Мање рањивости сервера и апликација које не угрожавају корисничке податке или приватност: 50 УСД
Рањивости које могу довести до корупције података: 200 УСД
Рањивости које могу довести до откривања корисничких података или угрожавања приватности корисника: 1.000 долара+
Максимални улог: 10.000 УСД

Смернице за извештавање

Молимо пријавите проблеме на сецурити@протонвпн.цом. Проблеми би требало да се извештавају са јасним упутствима о томе како репродуковати питање и / или доказ концепта.

Срдачан поздрав,
Тим компаније Протон Тецхнологиес

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map