Proton
Viimeksi muokattu: 30. heinäkuuta 2025

Haavoittuvuuksien ilmoittamiskäytäntö

Koska olemme yritys, jonka CERNissä tavanneet tutkijat ovat perustaneet, uskomme vertaisarviointiin. Siksi tuemme riippumatonta tietoturvayhteisöä auttamaan meitä ylläpitämään järjestelmiemme turvallisuutta ja suojaamaan arkaluonteisia tietoja luvattomalta paljastamiselta. Kannustamme tietoturvatutkijoita ottamaan meihin yhteyttä ilmoittaakseen Proton-tuotteissa havaituista mahdollisista haavoittuvuuksista.

Tässä käytännössä määritellään:

  • Mitkä järjestelmät ja sovellukset kuuluvat soveltamisalaan
  • Millaiset tietoturvatutkimusmenetelmät kuuluvat kattavuuteen
  • Kuinka ilmoittaa mahdollisista tietoturvahaavoittuvuuksista meille
  • Haavoittuvuuksien julkistamisfilosofiamme ja kuinka kauan pyydämme teitä odottamaan ennen haavoittuvuuksien julkista paljastamista

Proton kuittaa haavoittuvuuksien ilmoittamiskäytännön mukaisten raporttien vastaanottamisen viiden (5) arkipäivän kuluessa. Vastaanotettuamme raportin pyrimme vahvistamaan lähetykset, toteuttamaan korjaavat toimenpiteet (tarvittaessa) ja ilmoittamaan tutkijoille raportoitujen haavoittuvuuksien tilasta mahdollisimman pienellä viiveellä.

Jos pyritte vilpittömästi noudattamaan tätä käytäntöä tietoturvatutkimuksenne aikana, katsomme tutkimuksenne olevan valtuutettua Protonin laillisen safe harbor -käytännön mukaisesti. Työskentelemme kanssanne ymmärtääksemme ja ratkaistaksemme ongelman nopeasti, emmekä suosittele tai ryhdy oikeustoimiin teitä vastaan mistään tutkimukseenne liittyvistä toimista.

Testimenetelmät

Tietoturvatutkijat eivät saa:

  • Testata mitään muuta järjestelmää kuin alla olevassa Soveltamisala-osiossa mainitut järjestelmät
  • Paljastaa haavoittuvuustietoja paitsi siten kuin jäljempänä kohdissa Haavoittuvuudesta ilmoittaminen ja Julkistaminen on määrätty
  • Ryhtyä tilojen tai resurssien fyysiseen testaamiseen
  • Käyttää sosiaalista manipulointia
  • Lähettää ei-toivottua sähköpostia Protonin käyttäjille, mukaan lukien "tietojenkalastelu"-viestit
  • Suorittaa tai yrittää suorittaa "palvelunesto"- tai "resurssien ehtyminen" -hyökkäyksiä
  • Tuoda haittaohjelmistoja Protonin tai minkään ulkopuolisen tahon järjestelmiin
  • Suorittaa testejä, jotka voisivat heikentää Protonin järjestelmien toimintaa tai tarkoituksellisesti heikentää, häiritä tai poistaa käytöstä SEC-järjestelmiä
  • Testata ulkopuolisen tahon sovelluksia, verkkosivustoja tai palveluita, jotka integroituvat Protonin järjestelmiin tai linkittyvät niihin tai niistä
  • Poistaa, muuttaa, jakaa, säilyttää tai tuhota Protonin tietoja tai tehdä Protonin tiedoista saavuttamattomia
  • Käyttää haavoittuvuutta tietojen varastamiseen, komentoriviyhteyden luomiseen, pysyvän läsnäolon luomiseen Protonin järjestelmissä tai "hyppäämiseen" muihin Protonin järjestelmiin

Tietoturvatutkijat voivat:

  • Tarkastella tai tallentaa Protonin ei-julkisia tietoja vain siinä määrin kuin on tarpeen mahdollisen haavoittuvuuden olemassaolon dokumentoimiseksi

Tietoturvatutkijoiden on:

  • Lopetettava testaus ja ilmoitettava meille välittömästi haavoittuvuuden löytymisestä
  • Lopetettava testaus ja ilmoitettava meille välittömästi ei-julkisten tietojen paljastumisesta
  • Tuhottava kaikki tallennetut ei-julkiset tiedot haavoittuvuudesta ilmoittamisen yhteydessä

Soveltamisala

Seuraavat järjestelmät ja palvelut kuuluvat soveltamisalaan:

Proton

  • Verkkosivustomme proton.me
  • account.proton.me-verkkosovellus

Proton Calendar

  • calendar.proton.me-verkkosovellus
  • Proton Calendar -sovellukset (Android ja iOS/iPad)

Proton Drive

  • drive.proton.me-verkkosovellus
  • Proton Drive -sovellukset (Android, iOS/iPad [beeta] ja Windows)

Proton Docs

  • docs.proton.me-verkkosovellus

Proton Mail

  • mail.proton.me-verkkosovellus
  • api.protonmail.ch-verkkosovellus
  • Proton Mail -mobiilisovellukset (Android ja iOS/iPad)
  • Proton Bridge -sovellukset (GNU/Linux, macOS ja Windows)
  • Proton Scribe

Proton Pass

  • pass.proton.me-verkkosovellus
  • Proton Pass -mobiilisovellukset (Android, iOS/iPad)
  • Proton Pass -työpöytäsovellukset (Linux, macOS ja Windows)
  • Proton Pass -verkkolaajennukset (Chrome ja Firefox)

Proton Authenticator

  • Proton Authenticator -mobiilisovellukset (Android, iOS/iPad)
  • Proton Authenticator -työpöytäsovellukset (Linux, macOS ja Windows)

Proton VPN

  • VPN-verkkosivustomme protonvpn.com
  • account.protonvpn.com-verkkosovellus
  • api.protonvpn.ch-verkkosovellus
  • Proton VPN -sovellukset (Android, iOS/iPad, Linux, macOS ja Windows)
  • Proton VPN -verkkolaajennukset (Android TV, Apple TV, Chrome, Chromebook ja Firefox)

Proton Wallet

  • wallet.proton.me-verkkosovellus
  • Proton Wallet -sovellukset (Android, iOS)

Lumo by Proton

  • lumo.proton.me-verkkosovellus
  • Proton Lumo -sovellukset (Android, iOS)

SimpleLogin

  • simplelogin.io-verkkosivusto
  • app.simplelogin.io-verkkosovellus
  • SimpleLogin-mobiilisovellukset (Android ja iOS)
  • SimpleLogin-selainlaajennukset (Chrome, Edge, Firefox ja Safari)

Standard Notes

  • standardnotes.com-verkkosivusto
  • app.standardnotes.com-verkkosovellus
  • Standard Notes -sovellukset (Android, iOS/iPad, Linux, macOS ja Windows)

Kaikki palvelut, joita ei ole nimenomaisesti lueteltu yllä, eivät kuulu tämän käytännön piiriin. Selvyyden vuoksi tämä sisältää muun muassa seuraavat:

  • Roskapostia
  • Sosiaalisen manipuloinnin tekniikat
  • Palvelunestohyökkäykset
  • Sisällön injektointi ei kuulu soveltamisalaan, ellei voida selkeästi osoittaa merkittävää riskiä Protonille tai sen käyttäjille
  • Skriptien suorittaminen hiekkalaatikoiduissa verkkotunnuksissa
  • Mobiilisovellusten virheilmoitukset, joita ei voida toistaa ajan tasalla olevissa käyttöjärjestelmäversioissa tai mobiililaitteissa, jotka on julkaistu kahden (2) viimeisen kalenterivuoden aikana
  • Turvallisuusongelmat, jotka eivät kuulu Protonin mission piiriin
  • Viat, jotka vaativat erittäin epätodennäköistä käyttäjän toimintaa
  • WordPress-viat (ilmoittakaa niistä WordPressille)
  • Viat osoitteessa shop.proton.me (ilmoittakaa niistä Shopifylle)
  • Viat osoitteissa proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com ja help.protonmail.com (ilmoittakaa niistä Zendeskille)
  • Viat osoitteessa status.proton.me (ilmoittakaa niistä Atlassianille)
  • Konseptitodistukset, jotka vaativat fyysistä pääsyä laitteeseen
  • Vanhentunut ohjelmisto – Moninaisista syistä emme aina käytä uusimpia ohjelmistoversioita, mutta käytämme ohjelmistoja, jotka on täysin korjattu
  • Vanhentuneisiin selaimiin vaikuttavat puutteet
  • Viat osoitteessa partners.proton.me (ilmoittakaa niistä TUNE:lle)
  • Viat osoitteessa localize.proton.me (ilmoittakaa niistä Discourse:lle)

Haavoittuvuudesta ilmoittaminen

Ilmoituksia otetaan vastaan sähköpostitse osoitteessa security@proton.me. Hyväksyttäviä viestimuotoja ovat pelkkä teksti, muotoiltu teksti ja HTML. Suosittelemme salaamaan lähetykset julkisella PGP-avaimellamme, kun ilmoitatte haavoittuvuuksista.

  • Pidämme parempana raportteja, jotka sisältävät konseptitodistuskoodin, joka osoittaa haavoittuvuuden hyödyntämisen.
  • Raporttien tulisi sisältää yksityiskohtainen tekninen kuvaus vaiheista, jotka vaaditaan haavoittuvuuden toistamiseen, mukaan lukien kuvaus työkaluista, joita tarvitaan haavoittuvuuden tunnistamiseen tai hyödyntämiseen.
  • Kuvia (esim. kuvakaappauksia) ja muita asiakirjoja voidaan liittää raportteihin. On hyödyllistä antaa liitteille kuvaavat nimet.
  • Pyydämme upottamaan kaikki skriptit tai hyökkäyskoodit tiedostotyyppeihin, jotka eivät ole suoritettavia.
  • Voimme käsitellä kaikkia yleisiä tiedostotyyppejä ja arkistoja, mukaan lukien zip, 7zip ja gzip.

Tutkijat voivat lähettää raportteja nimettömästi tai antaa yhteystietonsa, mukaan lukien tiedon siitä, miten ja milloin Protonin turvallisuustiimin tulisi ottaa heihin yhteyttä. Saatamme ottaa yhteyttä tutkijoihin selventääksemme lähetetyn raportin näkökohtia tai kerätäksemme muita teknisiä tietoja.

Lähettämällä raportin Protonille vahvistatte, että raportti ja mahdolliset liitteet eivät loukkaa minkään kolmannen osapuolen immateriaalioikeuksia. Myönnätte Protonille myös ei-yksinomaisen, rojaltivapaan, maailmanlaajuisen ja ikuisen luvan käyttää, jäljentää, luoda johdannaisteoksia ja julkaista raportin ja mahdolliset liitteet.


Julkistaminen

Proton on sitoutunut korjaamaan haavoittuvuudet oikea-aikaisesti. Työskentelemme ahkerasti ratkaistaksemme kaikki ongelmat, jotka vaarantavat yhteisömme. Pyydämme kaikkia tutkijoita olemaan kärsivällisiä tutkiessamme meille lähettämiänne raportteja, sillä haavoittuvuuden julkinen paljastaminen ilman helposti saatavilla olevaa korjaavaa toimenpidettä todennäköisesti lisää yhteisömme turvallisuusriskiä sen sijaan, että se vähentäisi sitä.

Tämän mukaisesti edellytämme, että pidättäydytte jakamasta tietoja havaituista haavoittuvuuksista 120 kalenteripäivän ajan sen jälkeen, kun olette saaneet kuittauksen raporttinne vastaanottamisesta. Jos uskotte, että muille tulisi ilmoittaa haavoittuvuudesta ennen korjaavien toimenpiteiden toteuttamista, teidän on sovittava asiasta etukäteen Protonin turvallisuustiimin kanssa.

Saatamme jakaa haavoittuvuusraportteja asianomaisten myyjien kanssa. Emme jaa tietoturvatutkijoiden nimiä tai yhteystietoja ilman nimenomaista lupaa.


Kysyttävää?

Tätä käytäntöä koskevat kysymykset voi lähettää osoitteeseen security@proton.me. Proton kannustaa tietoturvatutkijoita ottamaan meihin yhteyttä, jos jokin osa tästä käytännöstä kaipaa selvennystä.

Ota meihin yhteyttä ennen testaamisen aloittamista, jos olet epävarma siitä, onko tietty testimenetelmä ristiriidassa tämän käytännön kanssa tai eikö sitä ole käsitelty siinä. Kutsumme tietoturvatutkijoita myös ottamaan meihin yhteyttä ja antamaan ehdotuksia tämän käytännön parantamiseksi.


Jos tämän sisällön englanninkielisen version ja käännetyn version välillä on ristiriitaa, englanninkielinen versio on ensisijainen.