Wir laden dich ein, dich an der Mission von Proton – die privaten Daten ihrer Nutzer online zu schützen – zu beteiligen!
Proton wurde 2013 von Wissenschaftlern gegründet, die sich am CERN kennengelernt haben und von der gemeinsamen Vision eines sicheren und privaten Internets angezogen wurden. Um die globalen Bemühungen zum Schutz der bürgerlichen Freiheiten und zum Aufbau eines sichereren Internets zu unterstützen, hat Proton zusammen mit Bug Bounty Switzerland ein privates Bug Bounty Programm gestartet. Wir laden anspruchsvolle Security Researcher, Kryptographen und Hacker mit Erfahrung in der Suche nach und Identifizierung von fortgeschrittenen Schwachstellen ein, an diesem Programm teilzunehmen.
Warum wir dich wollen
- Du hast öffentlich gezeigt, dass du über einzigartige Fachkenntnisse im Bereich Security Research und der Identifizierung von Schwachstellen in sensiblen Systemen verfügst.
- Protons oberste Priorität war seit jeher die Sicherung der Community – und wir brauchen dich, um sie zu erhalten.
Was du von uns erwarten kannst
- Das Programm gibt dir vorgängigen und exklusiven Zugang zu noch nicht veröffentlichten Versionen der Anwendungen und deren Quellcode
- Wir zahlen attraktive Prämien für akzeptierte Berichte, die die Infrastruktur, die Anwendungen oder den Quellcode betreffen – bis zu 30k
- Koordinierte Offenlegung von Sicherheitslücken
- Ein konstruktiver Dialog, faire Regeln und ein Legal Safe Harbor
Dein Fokus
- Schwachstellen, die die persönlichen Daten eines Proton-Benutzers gefährden
- Kompromittierung der Verschlüsselung von Proton (Passwortlecks, private Schlüssel, usw.)
- Nachweis des unbefugten Zugriffs auf Kundendaten (z. B. E-Mail, Kalender, usw.)
- Nachweis von EOP, Offenlegung sensibler Informationen oder Verfügbarkeitsschwachstellen in Proton-Produkten
- Kompromittierung der Proton-API oder Server-Infrastruktur
- Nachweis der Fähigkeit, Proton-Anwendungen zu kompromittieren, die auf mobilen Geräten, Windows, Linux und Apple laufen
Dies ist ein privates Programm – nur eingeladene Forscher können teilnehmen. Wir sind bestrebt, eng mit qualifizierten Security Researchern zusammenzuarbeiten, um sicherzustellen, dass unsere Produkte so sicher wie möglich sind.
Wenn du an einer Teilnahme interessiert bist, dann bewirb dich jetzt!
Das erwartet dich
Die Systeme im Scope
In den Scope fallen alle Systeme von Proton (Serversysteme, Webanwendungen, lokale Anwendungen), einschliesslich des Quellcodes der meisten von ihnen. Zusätzlich kann ein Vorabzugriff auf nicht veröffentlichten Quellcodes und/oder entsprechende Builds der Anwendungen gewährt werden.
- Mobile Applikationen
- Webanwendungen, Serversysteme (API’s, Backend)
- ProtonBridge
- Quellcode
- Mobile Applikationen
- Webanwendungen, Serversysteme (API’s, Backend)
- Quellcode
- Webanwendungen, Serversysteme (API’s, Backend)
- Quellcode
- Mobile Applikationen
- Webanwendungen, Serversysteme (API’s, Backend)
- Quellcode
- Mobile apps
- Web extensions
Wie wir die Auswirkungen beurteilen
Bei der Bewertung der Berichte sind die Auswirkungen auf Proton und seine Nutzer von Bedeutung. Zum Beispiel werden die folgenden Punkte berücksichtigt:
Auf welche Art von Daten oder Systemen kann zugegriffen werden?
- Klartextdarstellung der verschlüsselten Benutzerdaten
- Metadaten der Nutzer von Proton
- Protons Infrastruktur
- Die Geräte der Proton-Nutzer
- Die Skalierbarkeit des Angriffs
User
- Viele Nutzer auf einmal
- Wenn gezielte Angriffe möglich sind
- Angriffe auf zufällige Benutzer
- Gezielte Angriffe auf einzelne Nutzer
Prämien
Je nach Auswirkung werden Bounties von bis zu 30k ausbezahlt.
Quellcode
Für die meisten Produkte von Proton ist der Quellcode verfügbar und kann z.B. verwendet werden, um schlechte Implementierungen oder kryptografische Probleme zu identifizieren, die zu einer Ausnutzung führen könnten.
Legal Safe Harbor
Das Programm bietet einen Legal Safe Harbor und schützt Security Researcher vor Strafverfolgung, wenn sie in gutem Glauben handeln und die Regeln des Programms einhalten.
Verantwortungsvolle Offenlegung
- Proton ermutigt zur koordinierten Offenlegung von Schwachstellen.
- Die Offenlegung von Schwachstellen, die in diesem privaten Programm gefunden werden, ist mit schriftlicher Zustimmung von Proton möglich.