Hướng dẫn cách báo cáo lỗ hỏng
Chúng tôi cố gắng trở thành một mắt xích vững chắc trong chuỗi bảo mật của bạn, tận dụng lợi ích của mô hình mã hóa vô kiến thức để bảo mật dữ liệu và thông tin liên lạc của bạn. Tuy nhiên, không ai là hoàn hảo và chúng tôi cũng vậy. Đó là lý do tại sao chúng tôi muốn nghe ý kiến của bạn nếu bạn phát hiện ra lỗ hổng đủ điều kiện trong mã hoặc cơ sở hạ tầng của chúng tôi.
Trước khi liên hệ với chúng tôi, vui lòng đọc tất cả thông tin trên trang này và làm theo hướng dẫn.
Làm cách nào để báo cáo các lỗ hỏng?
Chúng tôi đánh giá cao những báo cáo có cấu trúc tốt và giải thích vấn đề một cách rõ ràng. Đó là vì chúng tôi có thể mô phỏng và hiểu được vấn đề, đồng thời bạn có thể nhận được khoản thanh toán cao hơn nhanh hơn. Chúng tôi khuyên bạn nên đọc bài đăng này để biết các mẹo về cách viết báo cáo tiền thưởng lỗi.
Khi báo cáo của bạn đã sẵn sàng, vui lòng gửi nó tới bug@mega.nz
Các lỗ hỏng phải có điều kiện gì?
- Mã thực thi từ xa trên bất kỳ máy chủ nào của chúng tôi, bao gồm cả lỗi dùng để tiêm vào SQL.
- Giả mạo yêu cầu phía máy chủ.
- Thực thi mã từ xa trên bất kỳ trình duyệt máy khách nào; ví dụ: thông qua tập lệnh chéo trang
- Bất cứ điều gì phá vỡ mô hình bảo mật mật mã của chúng tôi và cho phép truy cập từ xa trái phép vào khóa hoặc dữ liệu hoặc thao túng chúng.
- Bỏ qua kiểm soát truy cập và xác thực có thể dẫn đến ghi đè và xóa trái phép khóa hoặc dữ liệu người dùng
- Bất kỳ vấn đề nào gây nguy hiểm cho dữ liệu tài khoản người dùng trong trường hợp địa chỉ email liên quan bị xâm phạm
Các lỗ hỏng nằm ngoài phạm vi kiểm soát là gì?
- Bất cứ điều gì chủ động yêu cầu tương tác từ phía người dùng, chẳng hạn như tấn công lừa đảo xã hội
- Người dùng sử dụng mật khẩu yếu.
- Các lỗ hỏng đòi hỏi yêu cầu một số lượng lớn máy chủ để khai thác
- Các cuộc tấn công đòi hỏi máy khách bị xâm nhập
- Các sự cố xảy ra khi máy khách sử dụng trình duyệt không được hỗ trợ hoặc lỗi thời
- Bất kỳ sự cố nào yêu cầu quyền truy cập vào trung tâm dữ liệu vật lý (xem bên dưới để biết các tình huống có phạm vi giới hạn cho phép máy chủ bị xâm nhập)
- Lỗ hỏng trong các dịch vụ do bên thứ ba vận hành, chẳng hạn như là đại lý.
- Bất kỳ kiểu tấn công quá tải, cạn kiệt tài nguyên và từ chối dịch vụ nào
- Bất kỳ trường hợp nào dựa vào chứng chỉ SSL giả mạo
- Bất cứ điều gì yêu cầu sức mạnh tính toán cực cao (2^60 hoạt động mã hóa trở lên) hoặc máy tính lượng tử đang hoạt động, bao gồm các số ngẫu nhiên được cho là có thể dự đoán được (nếu bạn có thể chỉ ra điểm yếu thực tế thay vì phỏng đoán chung, chúng tôi có thể coi đó là báo cáo lỗi đủ điều kiện)
- Bất kỳ lỗi hoặc sự cố nào không liên quan đến lỗ hổng bảo mật
Một số tình huống đặc biệt mà tôi có thể báo cáo là gì?
Node CDN tĩnh bị xâm phạm (*.static.mega.co.nz)
Giả sử bạn đã xâm phạm một trong các máy chủ nội dung tĩnh của chúng tôi và có thể thao tác với các tệp (bao gồm tất cả mã JavaScript) được cung cấp từ máy chủ đó. Bạn có thể tận dụng thành tích đó để xâm phạm an ninh của chúng tôi không?
Giới hạn trách nhiệm: Việc tác động đến hành động của người dùng bằng cách thông qua các tệp hình ảnh đã chỉnh sửa mặc dù có thực sự là lỗ hỏng tiềm ẩn trong bối cảnh này, nhưng bị loại khỏi việc này.
Node lưu trữ của người dùng bị xâm phạm (*.userstorage.mega.co.nz)
Giả sử rằng bạn đã có quyền truy cập vào một trong các nút lưu trữ của chúng tôi và có thể thao tác nó một cách tự do. Bạn biết rằng nạn nhân sắp tải xuống một tệp cụ thể nằm trên nút đó, nhưng bạn không có khóa của tệp đó. Bạn có thể thao tác nội dung của nó để nó vẫn tải xuống mà không gặp lỗi không?
Cơ sở hạ tầng cốt lõi bị xâm phạm (*.api.mega.co.nz)
Đây là kịch bản cực đoan nhất. Giả sử rằng bạn đã xâm phạm trung tâm hoạt động của chúng tôi, các máy chủ API. Bạn có thể lừa khách hàng API giao các khóa có thể sử dụng được cho các tệp trong tài khoản không có bất kỳ lượt chia sẻ gửi đi nào trong đó không?
Các lỗ hỏng được phân loại như thế nào?
MEGA phân loại các lỗ hỏng theo mức độ nghiêm trọng, theo thang điểm từ 1 đến 6.
- Độ nghiêm trọng cấp 6
Các lỗi thiết kế mô hình mã hóa cơ bản có thể dùng để khai thác được. - Độ nghiêm trọng cấp 5
Mã từ xa thực hiện trên các máy chủ MEGA cốt lõi, chẳng hạn như giao diện lập trình ứng dụng, cơ sở dữ liệu và cụm gốc hoặc các xâm phạm kiểm soát truy cập quy mô lớn. - Độ nghiêm trọng cấp 4
Lỗi thiết kế mô hình mã hóa chỉ có thể bị khai thác sau khi xâm nhập cơ sở hạ tầng máy chủ, dù là trực tiếp hay sau khi đã xóa máy chủ để phân tích ngoại tuyến. - Độ nghiêm trọng cấp 3
Mã từ xa có thể khai thác chung chung được thực thi trên trình duyệt máy khách (tập lệnh chéo trang). - Độ nghiêm trọng cấp 2
Tập lệnh chéo trang (cross-site scripting) chỉ có thể bị khai thác sau khi xâm phạm cụm máy chủ API hoặc khi thực hiện tấn công trung gian, chẳng hạn như bằng cách cấp chứng chỉ TLS/SSL giả mạo cộng với thao tác DNS/BGP. - Độ nghiêm trọng cấp 1
Tất cả trường hợp mà lỗ hỏng có tác động thấp hoặc thuần túy về mặt lý thuyết.
Tôi sẽ được thưởng bao nhiêu?
Chúng tôi thưởng tới 10.000 EUR cho mỗi lỗ hỏng, tùy thuộc vào độ phức tạp và khả năng ảnh hưởng của nó.
Các báo cáo lỗi và lỗ hổng chất lượng cao có cấu trúc tốt và được ghi lại bằng bằng chứng về khái niệm sẽ được khen thưởng ở mức cao nhất của mỗi mức độ nghiêm trọng.
Ai có đủ điều kiện nhận thưởng?
Người đầu tiên báo cáo lỗ hỏng bảo mật mà MEGA có thể tái tạo và xác minh được sẽ nhận thưởng.
Ai là người quyết định tính hợp lệ của báo cáo lỗ hỏng?
Quyết định về việc báo cáo của bạn có đủ điều kiện hay không và bạn sẽ được thưởng bao nhiêu tùy theo quyết định của chúng tôi. Mặc dù chúng tôi sẽ công bằng và hào phóng, tuy nhiên bằng cách gửi báo cáo lỗi là bạn đồng ý và chấp nhận rằng phán quyết của chúng tôi là quyết định cuối cùng.
Mất bao lâu để biết về một lỗ hổng mà tôi đã báo cáo?
Chúng tôi đặt mục tiêu trả lời các báo cáo trong vòng vài ngày kể từ khi nhận được thông báo. Nếu bạn không nhận được phản hồi từ chúng tôi trong khoảng thời gian này, điều đó có thể do báo cáo của bạn là sai hoặc thiếu chi tiết để được xem xét đúng cách. Vui lòng theo dõi qua email nếu bạn tự tin rằng báo cáo của bạn là đầy đủ và chính xác.
Chính sách tiết lộ có trách nhiệm
Vui lòng tuân thủ chính sách tiết lộ có trách nhiệm theo tiêu chuẩn ngành, trong khoảng thời gian 90 ngày kể từ khi lỗ hổng được báo cáo được xác minh và thừa nhận, để chúng tôi có thời gian kiểm tra và triển khai mọi bản sửa lỗi.