Zabezpečenie ProtonVPN

Rovnako ako v prípade ProtonMailu, aj v ProtonVPN sme vytvorili stavbu s dôrazom na bezpečnosť. Dnes spúšťame program Bug Bounty, ktorý ďalej zvyšuje bezpečnosť ProtonVPN.

Pri prevádzkovaní služby VPN sa vyžaduje zabezpečenie nielen pre pripojenia VPN a samotné protokoly. Bezpečnosť je potrebná aj pre základnú serverovú infraštruktúru, webové stránky a dashboardy, samotné aplikácie VPN, platobný systém a tiež užívateľské databázy. V záujme náležitej ochrany súkromia používateľov musíme chrániť všetky aspekty služby pred kompromismi.


Pri budovaní ProtonVPN sme vychádzali z bezpečnostných znalostí, ktoré sme získali z prevádzkovania najväčšej zabezpečenej e-mailovej služby na svete. Spolupracovali sme tiež s prispievateľmi bezpečnosti ProtonMailu a širšou komunitou na posilňovaní všetkých aspektov ProtonVPN. Nedávno sme spolupracovali s dlhoročným prispievateľom zabezpečenia ProtonMail Mazinom Ahmedom na dokončení komplexného bezpečnostného auditu ProtonVPN a pridaní ďalšieho spevnenia..

náš program odmeny za chybu nám umožňuje rozšíriť prácu, ktorú už robíme každý deň, aby sme chránili používateľov ProtonVPN. Z tohto dôvodu, teraz, keď sa ProtonVPN oficiálne spustil, je jednou z prvých vecí, ktoré robíme, spustenie programu ProtonVPN Bug Bounty Program. Týmto programom vás pozývame bezpečnostných expertov z celého sveta, aby sa pokúsili nájsť slabiny v ProtonVPN, a budeme vyplácať odmeny (odmeny) za bezpečnostné otázky, ktoré nám boli oznámené prostredníctvom tohto programu. Ak ste výskumný pracovník v oblasti bezpečnosti, môžete sa tiež zúčastniť programu ProtonMail Bug Bounty Program.

ProtonVPN Bug Bounty Program

pravidlá

Rozsah: Program je obmedzený na servery a webové, stolné a mobilné aplikácie, ktoré prevádzkuje ProtonVPN. Naše profily na Facebooku, Twitteri, Linkedine, Eventbrite, atď. Nespĺňajú podmienky. Kvalifikačné stránky zahŕňajú:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Poznámka: .ch a nie .com]

Súčasťou tohto programu sú aj aplikácie ProtonVPN v systémoch Windows, MacOS, Linux, iOS a Android.

súdiac: Porota, ktorá hodnotí ceny, pozostáva z vývojárov ProtonVPN a ProtonMail, ktorým pomáha jeden alebo viac externých odborníkov, ktorí sú súčasťou našej bezpečnostnej skupiny. Účastníci programu súhlasia s rešpektovaním konečného rozhodnutia sudcov.

Zodpovedné zverejnenie: Žiadame, aby nám boli všetky chyby zabezpečenia oznámené na stránke [email protected]. Sme presvedčení, že je v rozpore s duchom tohto programu, aby sa chyba zverejnila tretím stranám na iné účely, ako je opravenie chyby. Účastníci súhlasia s tým, že nezverejnia zistené chyby, až kým nebudú opravené a koordinovať sprístupnenie informácií s naším tímom prostredníctvom našich poznámok k vydaniu, aby nedošlo k zámene.

Zodpovedné testovanie:  Prosím, neprepichujte používateľské účty, poškodené databázy ani úniky údajov, ktoré môžu byť citlivé. Takisto odrádzame od testovania zraniteľnosti, ktoré zhoršuje kvalitu služieb pre našich používateľov. Ak máte pochybnosti, kontaktujte náš tím pre bezpečnosť na adrese [email protected]

Dodržiavanie pravidiel: Účasťou v tomto programe súhlasíte s dodržiavaním vyššie uvedených pravidiel a podmienok. Všetky pravidlá musia byť dodržané, aby mohli byť udelené ceny.

Kvalifikácia zraniteľností

Akýkoľvek problém s návrhom alebo implementáciou, ktorý má zásadný vplyv na dôvernosť alebo integritu užívateľských údajov, bude pravdepodobne patriť do rozsahu pôsobnosti programu. To okrem iného zahŕňa:

Webové aplikácie

  • Skriptovanie naprieč stránkami
  • Falšovanie žiadosti na viacerých miestach
  • Skripty so zmiešaným obsahom
  • Nedostatky v overovaní alebo autorizácii
  • Chyby vykonávania kódu na strane servera
  • Chyby zabezpečenia REST API

server

  • Neschválený prístup do shellu
  • Zvyšovanie privilégií
  • Vzdialené spustenie kódu

aplikácia

  • Nedostatky v overovaní alebo autorizácii
  • Narušení bezpečnosti miestnych údajov (bez zakorenenia)

Veríme, že úzko spolupracujeme s výskumnými pracovníkmi v oblasti bezpečnosti a sme ochotní zdieľať technické podrobnosti, ako sú špecifikácie API, zdrojový kód alebo podrobnosti o infraštruktúre, s vybranými výskumnými pracovníkmi s cieľom zlepšiť bezpečnosť všetkých používateľov ProtonMailu. Prosím kontaktujte [email protected] pre viac detailov.

Kvalifikačné vylepšenia

Odmeny sa niekedy udeľujú za návrhy na zlepšenie, ktoré nepatria do žiadnej z vyššie uvedených kategórií. Náš tím určuje prípad od prípadu. Patria sem veci ako:

  • Vylepšenia konfigurácie servera
  • Konfigurácia brány firewall
  • Vylepšené zabezpečenie DoS / DDoS
  • Zverejnenie cesty / informácií

Chyby nespĺňajúce podmienky

  • Chyby, ktoré majú vplyv na zastarané prehliadače (Ľutujeme, problémy s bezpečnosťou IE6 sa nespĺňajú)
  • Problémy s bezpečnosťou mimo rámca modelu hrozieb ProtonVPN
  • Útoky typu phishing alebo sociálne inžinierstvo
  • Chyby vyžadujúce mimoriadne nepravdepodobné interakcie používateľa
  • Chyby WordPress (ale nahláste ich, prosím, WordPress)
  • Zastaraný softvér – z rôznych dôvodov nie vždy spúšťame najnovšie verzie softvéru, ale spúšťame softvér, ktorý je plne opravený
  • Chyby softvéru v OpenVPN alebo IKEv2 (ale nahláste ich ich autorom)

Odmeny

Výška odmeny, ktorú platíme, sa určuje od prípadu k prípadu a vo veľkej miere závisí od závažnosti problému. Aby ste dostali odmenu, obyčajne musíte byť prvá osoba, ktorá nahlási problém, hoci sa niekedy robia výnimky. Pokyny týkajúce sa hrubých odmien sú uvedené nižšie:

Menšie chyby zabezpečenia servera a aplikácie, ktoré neohrozujú používateľské údaje ani súkromie: 50 USD
Zraniteľné miesta, ktoré môžu viesť k poškodeniu údajov: 200 dolárov
Zraniteľné miesta, ktoré môžu viesť k zverejneniu užívateľských údajov alebo ohroziť súkromie používateľa: 1 000 USD+
Maximálna odmena: 10 000 dolárov

Pokyny pre podávanie správ

Problémy nahláste [email protected]. Problémy by sa mali oznamovať s jasnými pokynmi, ako reprodukovať problém a / alebo dôkaz koncepcie.

S Pozdravom,
Tím spoločnosti Proton Technologies

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map