Сообщите об уязвимости в нашем коде

Если вы обнаружите уязвимость в нашем коде или инфраструктуре, сообщите нам об этом и получите до 10 000 € за каждую уязвимость, в зависимости от её сложности и потенциального воздействия.

Как сообщить об уязвимостях?
Что такое подходящие уязвимости?
Какие уязвимости выходят за рамки программы?
О каких особых сценариях я могу сообщить?
Как классифицируются уязвимости?
Какое вознаграждение я получу?
Кто имеет право на вознаграждение?
Кто принимает решение о действительности отчета об уязвимости?
Через какое время я получу ответ по уязвимости, о которой я сообщил?
Выберите

Инструкция, как сообщить об уязвимости

Мы стремимся быть сильным звеном в вашей цепочке безопасности, используя преимущества шифрования с нулевым разглашением для защиты ваших данных и коммуникаций. Однако никто не идеален, и мы тоже. Вот почему мы будем рады услышать о подходящей уязвимости, если вы обнаружите её в нашем коде или инфраструктуре.

Прежде чем связаться с нами, пожалуйста, прочтите всю информацию на этой странице и следуйте инструкциям.

Как сообщить об уязвимостях?

Мы ценим хорошо структурированные отчёты с чётким объяснением ошибок. Так мы можем воспроизвести и понять проблему, и вы сможете получать более высокие выплаты быстрее. Рекомендуем прочесть этот пост, чтобы узнать, как писать отчёты по наградам за баги.

Когда ваш отчёт будет готов, отправьте его по адресу bug@mega.nz

Что такое подходящие уязвимости?

  • Удалённое выполнение кода на любом из наших серверов, включая уязвимости SQL-инъекций.
  • Подделка запросов на стороне сервера.
  • Удаленное выполнение кода в любом клиентском браузере. Например, с помощью межсайтовых сценариев.
  • Всё, что нарушает нашу модель криптографической безопасности и допускает несанкционированный удалённый доступ к ключам или данным или манипуляции с ними.
  • Обход управления доступом и аутентификации, который может привести к несанкционированной перезаписи и удалению ключей или пользовательских данных.
  • Любая ошибка, которая ставит под угрозу данные аккаунта пользователя в случаях, когда связанный адрес электронной почты скомпрометирован.

Какие уязвимости выходят за рамки программы?

  • Всё, что требует активного взаимодействия с пользователем, например, фишинговые атаки и атаки с использованием социальной инженерии.
  • Слабые пароли пользовательских аккаунтов.
  • Уязвимости, для использования которых требуется большое количество запросов к серверу.
  • Атаки с использованием скомпрометированного клиентского устройства.
  • Проблемы, возникающие из-за использования неподдерживаемых или устаревших клиентских браузеров.
  • Любая проблема, требующая физического доступа к центру обработки данных (см. ниже ограниченные сценарии, допускающие скомпрометированные серверы).
  • Уязвимости в сторонних сервисах, таких как реселлеры.
  • Любые атаки с перегрузкой, исчерпанием ресурсов и отказом в обслуживании.
  • Любые сценарии, основанные на поддельных SSL-сертификатах.
  • Всё, что требует экстремальной вычислительной мощности (2^60 криптографических операций или более) или работающего квантового компьютера, включая предположительно предсказуемые случайные числа (если вы можете показать фактическое слабое место, а не общую гипотезу, мы можем рассматривать это как подходящий отчёт о баге).
  • Любые баги или проблемы, не связанные с уязвимостями в безопасности.

О каких особых сценариях я могу сообщить?

Скомпрометированный статический CDN-узел(*.static.mega.co.nz)

Предположим, что вы скомпрометировали один из наших серверов статического содержимого и можете манипулировать файлами (включая весь код JavaScript), которые он передаёт. Можете ли вы использовать это достижение, чтобы поставить под угрозу нашу безопасность?

Отказ от ответственности: влияние на действия пользователя через изменённые файлы изображений хотя и является потенциальной уязвимостью в этом контексте, исключается.

Скомпрометированный узел пользовательского хранилища (*.userstorage.mega.co.nz)

Предположим, вы получили доступ к одному из наших узлов хранилища и можете свободно манипулировать им. Вы знаете, что ваша жертва собирается скачать конкретный файл, находящийся на этом узле, но у вас нет его ключа. Можете ли вы манипулировать его содержимым, чтобы оно по-прежнему загружалось без ошибок?

Скомпрометированная основная инфраструктура (*.api.mega.co.nz)

Это наиболее экстремальный сценарий. Предположим, вы скомпрометировали наше операционное сердце — серверы API. Можете ли вы обмануть клиентов API, чтобы они отдали пригодные для использования ключи для файлов в аккаунтах, в которых нет исходящих общих элементов?

Как классифицируются уязвимости?

MEGA классифицирует уязвимости по серьёзности по шкале от 1 до 6.

  • Класс серьёзности 6
    Фундаментальные недостатки криптографической конструкции, которые обычно можно использовать.
  • Класс серьёзности 5
    Удалённое выполнение кода на основных серверах MEGA, таких как интерфейс прикладного программирования, база данных и корневые кластеры, или серьёзные нарушения управления доступом.
  • Класс серьёзности 4
    Недостатки криптографической конструкции, которые можно использовать только после компрометации серверной инфраструктуры, либо в реальном времени, либо постфактум..
  • Класс серьёзности 3
    В целом используемое удалённое выполнение кода в клиентских браузерах (межсайтовые сценарии).
  • Класс серьёзности 2
    Межсайтовые сценарии, которые можно использовать только после компрометации кластера серверов API или организации атаки «человек посередине», например путём выдачи поддельного сертификата TLS/SSL плюс манипуляции с DNS/BGP.
  • Класс серьёзности 1
    Все менее опасные или чисто теоретические сценарии уязвимостей.

Какое вознаграждение я получу?

Мы присуждаем до 10 000 евро за каждую уязвимость в зависимости от её сложности и потенциального воздействия.

Качественные отчёты о багах и уязвимостях, которые хорошо структурированы и задокументированы с подтверждением концепции, будут вознаграждены максимально для своего класса серьёзности.

Кто имеет право на вознаграждение?

Первый человек, который сообщит об уязвимости, воспроизводимой и проверяемой MEGA, получит вознаграждение.

Кто принимает решение о действительности отчета об уязвимости?

Решение о том, соответствует ли ваш отчёт требованиям и какую сумму вы получите, остаётся на наше усмотрение. Хотя мы будем честны и великодушны, отправляя отчёт о баге, вы соглашаетесь и принимаете, что наш вердикт является окончательным.

Через какое время я получу ответ по уязвимости, о которой я сообщил?

Мы стараемся отвечать на отчёты в течение нескольких дней после их получения. Если вы не получите ответ в течение этого периода, это может указывать на то, что ваш отчёт ошибочен или в нем недостаточно подробностей, чтобы его можно было рассмотреть должным образом. Если вы уверены, что ваш отчет полный и правильный, напишите нам по электронной почте.

Политика ответственного раскрытия информации

Пожалуйста, соблюдайте стандартную отраслевую политику ответственного раскрытия информации, предусматривающую 90-дневный период с момента проверки и подтверждения отчёта об уязвимости, чтобы у нас было время протестировать и внедрить любые исправления.