保持 ProtonVPN 安全的

与 ProtonMail 一样,我们构建了 ProtonVPN 强调安全性。 今天,我们推出了一个漏洞赏金计划,以进一步增强 ProtonVPN的安全。

在运营 VPN 服务时,不仅需要 VPN 连接和协议本身的安全性。 底层服务器基础设施、网页和仪表板、VPN 应用程序本身、支付系统以及用户数据库也需要安全性。 为了妥善保护用户隐私,我们需要保护服务的各个方面不受损害。

在建筑 ProtonVPN,我们利用了从运行世界上最大的安全电子邮件服务中获得的安全专业知识。 我们也一直在与 ProtonMail 安全贡献者 和更广泛的社区关于加强 ProtonVPN. 最近,我们与长期的 ProtonMail 安全贡献者合作 马津·艾哈迈德 完成全面的安全审计 ProtonVPN 并添加额外的硬化。

我们的 漏洞赏金计划 使我们能够扩展我们每天已经完成的工作,以保护 ProtonVPN 用户。 为此,现在 ProtonVPN 已经正式启动,我们要做的第一件事就是启动 ProtonVPN 漏洞赏金计划。 通过这个计划,我们正在邀请 来自世界各地的安全专家试图找出其中的弱点 ProtonVPN,并且我们将为通过此计划向我们报告的安全问题支付奖励(赏金)。 如果您是安全研究员,您还可以参与 ProtonMail 漏洞赏金计划.

ProtonVPN 漏洞赏金计划

规则

范围: 该程序仅限于服务器以及由运行的 Web、桌面和移动应用程序 ProtonVPN. 我们的个人资料 Facebook, Twitter、Linkedin、Eventbrite 等不符合条件。 符合条件的网站包括:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Note: .ch and not .com]

这 ProtonVPN Windows、MacOS、Linux、iOS 和 Android 上的应用程序也包含在该程序中。

判断: 确定奖项的评审团包括 ProtonVPN ProtonMail 开发人员由我们安全小组中的一名或多名外部专家协助。 计划参与者同意尊重评委的最终决定。

负责任的披露: 我们要求将所有漏洞报告给我们 [email protected]. 我们认为,出于实际修复错误以外的目的向第三方披露该漏洞是违反该计划的精神的。 参与者同意在修复之前不披露发现的错误 并通过我们的发布说明与我们的团队协调披露以避免混淆。

负责任的测试: 请不要破解用户帐户、损坏数据库或泄露可能敏感的数据。 我们也不鼓励进行会降低用户服务质量的漏洞测试。 如有疑问,请随时通过 [email protected] 联系我们的安全团队。

遵守规则: 参加此计划,即表示您同意遵守上述规则和条件。 必须遵守所有规则才有资格获得奖励。

符合条件的漏洞

任何严重影响用户数据的机密性或完整性的设计或实施问题都可能在该计划的范围内。 这包括但不限于:

网络应用程序

  • 跨站脚本
  • 跨站请求伪造
  • 混合内容脚本
  • 身份验证或授权缺陷
  • 服务器端代码执行错误
  • REST API 漏洞

服务器

  • 未经授权的外壳访问
  • 权限提升
  • 远程代码执行

应用

  • 身份验证或授权缺陷
  • 本地数据安全漏洞(不生根)

我们相信与安全研究人员密切合作,并愿意与选定的研究人员分享技术细节,如 API 规范、源代码或基础设施细节,以提高所有 ProtonMail 用户的安全性。 请联系 [email protected] 更多细节。

合格的改进

有时,奖励不属于上述任何类别的改进建议。 这是由我们的团队根据具体情况确定的。 其中包括:

  • 服务器配置改进
  • 防火墙配置
  • 改进的 DoS/DDoS 保护措施
  • 路径/信息公开

不合格漏洞

  • 影响过时浏览器的缺陷(抱歉,IE6 安全问题不符合条件)
  • 范围之外的安全问题 ProtonVPN的威胁模型
  • 网络钓鱼或社会工程攻击
  • 需要极不可能的用户交互的错误
  • WordPress 错误(但请向 WordPress 报告)
  • 过时的软件——由于各种原因,我们并不总是运行最新的软件版本,但我们确实运行完全修补的软件
  • OpenVPN 或 IKEv2 中的软件错误(但请向其作者报告)

奖励金额

我们支付的赏金数额视具体情况而定,很大程度上取决于问题的严重程度。 要获得赏金,您通常需要 第一个报告问题的人,尽管有时会出现例外情况。 粗略的赏金指南如下:

不会损害用户数据或隐私的服务器和应用程序漏洞:50 美元
可能导致数据损坏的漏洞:200 美元
可能导致用户数据泄露或危及用户隐私的漏洞:1000 美元以上
最高赏金:10,000 美元

报告准则

请将问题报告给 [email protected]. 报告问题时应明确说明怎样重现问题和/或概念证明。

最好的祝福,
质子科技团队