コードの脆弱性を報告する

当社のコードやインフラストラクチャにセキュリティの脆弱性を発見した場合は、当社にご報告ください。複雑さと影響の可能性に応じて、1件の脆弱性ごとに最大10000ユーロの報奨金をお支払いいたします。

脆弱性を報告する方法は?
該当する脆弱性とは?
範囲外の脆弱性とは?
報告できる特別なシナリオにはどのようなものがありますか?
脆弱性はどのように分類されますか?
報奨金はいくらですか?
報奨金の対象者は?
脆弱性レポートの有効性を判断するのは誰ですか?
報告した脆弱性について連絡が来るまでどのくらいかかりますか?

脆弱性を報告する方法の説明

当社はゼロ知識暗号化の利点を活用してユーザー様のデータと通信を保護し、セキュリティチェーンの強力なリンクとなるよう努めています。しかし、完璧な人はいませんし、私たちもそうではありません。そのため、当社のコードやインフラストラクチャに、該当する脆弱性を発見された場合は、ぜひご連絡ください。

ご連絡いただく前に、このページの情報をすべてお読みになり、指示に従ってください。

脆弱性を報告する方法は?

当社は、しっかりと構成され、問題を明確にご説明いただくレポートを高く評価しております。なぜなら、それにより当社は、問題を再現して理解することができるからです。また、そのようにご報告された方も、より高い支払いを、より早く受け取ることができます。バグ報奨金レポートの書き方に関するヒントについては、こちらの投稿を読むことをお勧めします。

レポートの準備ができましたら、bug@mega.nzに送信してください。

該当する脆弱性とは?

  • SQLインジェクションの欠陥を含む、当社サーバーの任意のサーバーでリモートコード実行。
  • サーバー側のリクエストフォージェリ。
  • 任意のクライアントブラウザでのリモートコード実行。例えば、クロスサイトスクリプティングを通じて。
  • 当社の暗号化セキュリティモデルを破り、キーやデータへの不正なリモートアクセスや、それらの操作を可能にするもの。
  • キーやユーザーデータの無許可の上書きおよび削除につながる可能性のあるアクセス制御および認証バイパス。
  • 関連付けられたメールアドレスが侵害された場合に、ユーザーアカウントデータを危険にさらす問題。

範囲外の脆弱性とは?

  • フィッシングやソーシャルエンジニアリング攻撃など、積極的にユーザーの操作を必要とするものすべて。
  • ユーザーアカウントのパスワードが弱い。
  • 悪用するのに多数のサーバーリクエストを必要とする脆弱性。
  • 侵害されたクライアントマシンを必要とする攻撃。
  • サポートされていない、または古いクライアントブラウザの使用によって発生する問題。
  • 物理的なデータセンターへのアクセスが必要な問題(侵害されたサーバーを許容する、範囲が限定されたシナリオについては以下をご参照ください)。
  • リセラーなどのサードパーティが運営するサービスの脆弱性。
  • 過負荷、リソースの枯渇、およびサービス拒否タイプの攻撃。
  • 偽造されたSSL証明書に依存するシナリオ。
  • 極端な計算能力(2^60の暗号演算以上)を必要とするもの、または予測可能とされる乱数を含む動作中の量子コンピューター(一般的な推測ではなく実際の弱点を示すことができる場合は、それを該当するバグレポートと見なす場合があります)。
  • セキュリティの脆弱性に関係のないバグや問題。

報告できる特別なシナリオにはどのようなものがありますか?

静的CDNノードが侵害された(*.static.mega.co.nz)

あなたは当社の静的コンテンツサーバーの1つに侵入し、そこから提供されるファイル(すべてのJavaScriptコードを含む)を操作できると仮定しましょう。その成果を利用して、当社のセキュリティを危険にさらすことはできますか?

免責事項:変更された画像ファイルを通じてユーザーの操作に影響を与えることは、実際にはこのコンテキストでの潜在的な脆弱性ではありますが、除外されています。

ユーザーストレージノードが侵害された (*.userstorage.mega.co.nz)

あなたは当社のストレージノードの1つにアクセスできるようになり、それを自由に操作できると仮定しましょう。また、あなたは、被害者がそのノードにある特定のファイルをダウンロードしようとしていることはわかっている一方で、そのキーを持っていません。エラーなしで、ダウンロードできるようにそのコンテンツを操作できますか?

コアインフラストラクチャが侵害された (*.api.mega.co.nz)

これは最も極端なシナリオです。あなたは当社の運用の心臓部である、APIサーバーを侵害したとしましょう。APIクライアントをだまして、発信共有を持たないアカウント内のファイルの使用可能なキーを引き渡すことはできますか?

脆弱性はどのように分類されますか?

MEGAは、1から6までのスケールで、重大度に従って脆弱性を分類します。

  • 重大度クラス6
    一般的に悪用可能な基本的な暗号設計の欠陥。
  • 重大度クラス5
    アプリケーションプログラミングインターフェイス、データベース、ルートクラスターなどのコアMEGAサーバーでのリモートコード実行、または主要なアクセス制御違反。
  • 重大度クラス4
    ライブまたは事後調査のいずれかで、サーバーインフラストラクチャが侵害された後にのみ悪用できる暗号設計の欠陥。
  • 重大度クラス3
    クライアントブラウザで一般的に悪用可能なリモートコード実行(クロスサイトスクリプティング)。
  • 重大度クラス2
    APIサーバークラスターを侵害するか、例えば、偽のTLS/SSL証明書を発行し、DNS/BGP操作によって中間者攻撃を仕掛けた後にのみ悪用できるクロスサイトスクリプティング。
  • 重大度クラス1
    影響が少ない、または純粋に理論上のあらゆる脆弱性シナリオ。

報奨金はいくらですか?

その複雑さと潜在的な影響の大きさに応じて、脆弱性1件につき最大10000ユーロの報奨金をお支払いいたします。

しっかりと構成され、概念実証で文書化された高品質のバグおよび脆弱性レポートは、各重大度クラスの最上位で報われます。

報奨金の対象者は?

MEGAによって再現可能かつ検証可能な脆弱性をご報告された最初の方に、報奨金賞をお支払いいたします。

脆弱性レポートの有効性を判断するのは誰ですか?

あなたのレポートが適格であるかどうか、および報奨金の額は、当社の裁量に委ねられています。当社は公平かつ寛大ですが、バグレポートを送信されることにより、あなたは当社の判断が最終的なものであることに同意し、受け入れることになります。

報告した脆弱性について連絡が来るまでどのくらいかかりますか?

ご報告を拝受後、数日以内にご返信するよう努めております。この期間内に当社から連絡がない場合は、ご報告に誤りがあるか、十分な詳細が不足しており、適切ではないとみなされている可能性があります。ご報告が完全かつ正確であると確信できる場合は、お手数ですがメールで当社にご連絡ください。

責任ある開示ポリシー

ご報告された脆弱性が検証されて確認されてから90日間の期間を設けるという、業界標準の責任ある開示ポリシーを遵守し、当社に修正をテストしてデプロイする時間を与えてください。