ProtonVPN-in etibarlı saxlanılması

ProtonMail-də olduğu kimi, təhlükəsizliyə vurğu ilə ProtonVPN qurduq. Bu gün ProtonVPN-in təhlükəsizliyini daha da artırmaq üçün Bug Bərəkət Proqramına başlamışıq.

Bir VPN xidmətində yalnız VPN əlaqələri və protokollar üçün təhlükəsizlik tələb olunmur. Təhlükəsizliyin alt server infrastrukturu, veb səhifələr və tablosuna, VPN tətbiqlərinin özləri, ödəniş sistemi və istifadəçi məlumat bazaları üçün də lazımdır. İstifadəçinin məxfiliyini düzgün qorumaq üçün xidmətin bütün tərəflərini güzəştdən qorumalıyıq.


ProtonVPN qurarkən, dünyanın ən böyük təhlükəsiz e-poçt xidmətini işə salmadan qazandığımız təhlükəsizlik təcrübəsinə əsaslandıq. ProtonMail təhlükəsizlik töhfəçiləri və geniş ictimaiyyətlə birlikdə ProtonVPN’nin bütün istiqamətlərini gücləndirmək üzərində işləmişik. Bu yaxınlarda, uzun müddət ProtonMail təhlükəsizlik töhfəçisi Mazin Ahmed ilə birlikdə ProtonVPN-in hərtərəfli təhlükəsizlik auditini aparmaq və əlavə sərtləşdirmə aparmaq üçün birlikdə çalışdıq..

Bizim səhv lütf proqramı ProtonVPN istifadəçilərini qorumaq üçün gündəlik olaraq etdiyimiz işləri genişləndirməyə imkan verir. Bu səbəbdən, indi ProtonVPN-nin rəsmi olaraq istifadəyə verilməsi, ilk işimizdən biri də ProtonVPN Bug Lütf Proqramıdır. Bu proqramla dəvət edirik ProtonVPN daxilindəki zəif tərəfləri tapmağa çalışmaq üçün dünyanın təhlükəsizlik mütəxəssisləri, və bu proqram vasitəsilə bizə bildirilən təhlükəsizlik məsələlərinə görə mükafat (lütf) ödəyəcəyik. Bir təhlükəsizlik tədqiqatçısıdırsa, ProtonMail Bug Lütf Proqramında da iştirak edə bilərsiniz.

ProtonVPN Bug Lütf Proqramı

Qaydalar

Sahə: Proqram yalnız serverlər və ProtonVPN tərəfindən idarə olunan veb, masaüstü və mobil tətbiqetmələrlə məhdudlaşır. Facebook, Twitter, Linkedin, Eventbrite və s. Profillərimiz uyğun gəlmir. Seçmə saytlarına aşağıdakılar daxildir:

  • protonvpn.com
  • hesab.protonvpn.com
  • api.protonvpn.ch [Qeyd: .ch və deyil .com]

Windows, MacOS, Linux, iOS və Android-də ProtonVPN tətbiqləri də bu proqrama daxildir.

Hakim: Mükafatları təyin edəcək mühakimə heyəti, təhlükəsizlik qrupumuzun bir hissəsi olan bir və ya bir neçə kənar mütəxəssisin köməyi ilə ProtonVPN və ProtonMail tərtibatçılarından ibarətdir. Proqram iştirakçıları hakimlərin son qərarına hörmət etməyə razıdırlar.

Məsul açıqlama: Bütün zəifliklərin bizə bildirilməsini xahiş edirik təhlükə[email protected]. İnanırıq ki, bu proqramın ruhunu səhvini düzəltməkdən başqa məqsədlər üçün üçüncü tərəflərə açıqlamaqdır. İştirakçılar tapılan səhvləri düzəldildikdən sonra açıqlamamağa razıdırlar qarışıqlığın qarşısını almaq üçün buraxılış qeydlərimiz vasitəsilə komandamızla açıqlamanı əlaqələndirmək.

Məsul Test:  Zəhmət olmasa istifadəçi hesablarını, məlumat bazalarını pozmayın və həssas ola biləcək məlumatları sızdırmayın. İstifadəçilərimizə xidmət keyfiyyətini aşağı salan zəiflik testini də rədd edirik. Şübhə varsa, Təhlükəsizlik qrupumuzla [email protected] ünvanına müraciət etməkdən çekin.

Qaydalara riayət etmək: Bu proqramda iştirak etməklə yuxarıdakı qaydalara və şərtlərə əməl etməyinizə razılıq verirsiniz. Mükafatlara layiq olmaq üçün bütün qaydalara əməl olunmalıdır.

Təsnif olunan zəifliklər

İstifadəçi məlumatlarının məxfiliyinə və ya bütövlüyünə əhəmiyyətli dərəcədə təsir edən hər hansı bir dizayn və ya həyata keçirmə məsələsi, ehtimal ki, proqramın əhatə dairəsindədir. Buraya daxildir, lakin bununla məhdudlaşmır:

Veb Tətbiqləri

  • Saytlararası skript
  • Xaç sayta saxta tələb
  • Qarışıq məzmunlu skriptlər
  • Doğrulama və ya avtorizasiya qüsurları
  • Server tərəfində kod icrası səhvləri
  • REST API zəiflikləri

Server

  • İcazəsiz qabığa giriş
  • İmtiyazın artması
  • Uzaqdan kod icrası

Proqramlar

  • Doğrulama və ya avtorizasiya qüsurları
  • Yerli məlumat təhlükəsizliyinin pozulması (kök almadan)

Təhlükəsizlik tədqiqatçıları ilə yaxından işləməyimizə inanırıq və bütün ProtonMail istifadəçiləri üçün təhlükəsizliyi yaxşılaşdırmaq məqsədi ilə seçilmiş tədqiqatçılar ilə API xüsusiyyətləri, mənbə kodu və ya infrastruktur detalları kimi texniki məlumatları bölüşməyə hazırıq. Zəhmət olmasa əlaqə saxlayın təhlükə[email protected] daha ətraflı məlumat üçün.

İxtisasartırma

Bəzən, yuxarıda göstərilən kateqoriyalardan heç birinə daxil olmayan yaxşılaşdırma təkliflərinə görə lütflər verilir. Bu, komandamız tərəfindən davaya əsasən müəyyən edilir. Bunlara aşağıdakılar daxildir:

  • Server konfiqurasiyasının təkmilləşdirilməsi
  • Firewall konfiqurasiyaları
  • Təkmilləşdirilmiş DoS / DDoS təminatları
  • Yol / məlumat açıqlaması

Qeyri-müəyyən zəifliklər

  • Köhnə brauzerlərə təsir göstərən qüsurlar (bağışlayın, IE6 təhlükəsizlik problemləri uyğun gəlmir)
  • ProtonVPN-nin təhdid modelindən kənar təhlükəsizlik problemləri
  • Fişinq və ya sosial mühəndislik hücumları
  • Çox çətin istifadəçi qarşılıqlı tələb edən bugs
  • WordPress səhvləri (lakin xahiş edirəm WordPress-ə bu barədə məlumat verin)
  • Köhnəlmiş proqram təminatı – Fərqli səbəblərə görə, biz həmişə ən son proqram versiyasını işlətmirik, ancaq tam yamacda olan proqramı işlədirik
  • OpenVPN və ya IKEv2 proqram səhvləri (ancaq müəlliflərinə bildirin)

Mükafat məbləğləri

Təqdim etdiyimiz lütfün həcmi bir işə görə müəyyən edilir və məsələnin ciddiliyindən çox asılıdır. Bir lütf qazanmaq üçün ümumiyyətlə olmalısan bir problemi bildirən ilk şəxs, baxmayaraq bəzən istisnalar edilir. Kobud nemət qaydaları aşağıda verilmişdir:

İstifadəçi məlumatlarını və ya məxfiliyini pozmayan kiçik server və tətbiq zəiflikləri: $ 50
Məlumatların korlanmasına səbəb ola biləcək zəifliklər: 200 dollar
İstifadəçi məlumatlarının açıqlanmasına səbəb ola biləcək və ya istifadəçi məxfiliyinə təhlükə yarada biləcək zəifliklər: $ 1000+
Maksimum lütf: 10.000 dollar

Hesabat vermə qaydaları

Xahiş edirəm məsələlər barədə məlumat verin təhlükə[email protected]. Məsələlərin çoxaldılması və / və ya konsepsiya sübutu barədə dəqiq təlimatlarla məlumat verilməlidir.

Hörmətlə,
Proton Texnologiyaları Komandası

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me