รายงานช่องโหว่ด้านความปลอดภัยในโค้ดของเรา

หากคุณพบช่องโหว่ด้านความปลอดภัยในโค้ดหรือโครงสร้างพื้นฐานของเรา กรุณาแจ้งให้เราทราบ คุณอาจได้รับรางวัลสูงถึง 10,000 ยูโรต่อช่องโหว่ โดยจะขึ้นอยู่กับว่ามีความซับซ้อนและผลกระทบมากน้อยเพียงใด

ฉันจะรายงานช่องโหว่ด้านความปลอดภัยได้อย่างไร
ช่องโหว่ที่เข้าเกณฑ์มีอะไรบ้าง
ช่องโหว่ที่ไม่เข้าเกณฑ์มีอะไรบ้าง
สถานการณ์แบบใดบ้างที่ฉันสามารถรายงานได้
ประเภทช่องโหว่ถูกจำแนกอย่างไร
ฉันจะได้รับรางวัลประมาณเท่าไหร่
ใครบ้างที่มีสิทธิ์ได้รับรางวัล
ใครเป็นผู้มีอำนาจตัดสินใจเกี่ยวกับความถูกต้องของรายงานช่องโหว่ความปลอดภัย
ใช้เวลานานเท่าไหร่ที่จะได้รับข่าวเกี่ยวกับช่องโหว่ที่ฉันรายงานไว้

คำแนะนำเกี่ยวกับวิธีรายงานช่องโหว่ด้านความปลอดภัย

เราทำงานอย่างหนักเพื่อรักษาข้อมูลและการสื่อสารของคุณให้ปลอดภัยโดยใช้สิ่งที่เรียกว่า การเข้ารหัสด้วยวิธีซีโร่-นอว์เลจ แต่เช่นเดียวกับคนอื่น ๆ เราไม่ได้สมบูรณ์แบบ ดังนั้น หากคุณตรวจพบช่องโหว่ด้านความปลอดภัยในโค้ดที่เข้าเกณฑ์หรือโครงสร้างพื้นฐานของเรา เรายินดีรับฟังความคิดเห็นจากคุณเป็นอย่างยิ่ง

ก่อนที่จะติดต่อเรา เราขอให้คุณอ่านข้อมูลทั้งหมดในหน้านี้อย่างระมัดระวังและปฏิบัติตามแนวทางที่ให้ไว้

ฉันจะรายงานช่องโหว่ด้านความปลอดภัยได้อย่างไร

เราขอขอบคุณสำหรับรายงานที่มีการจัดเนื้อหาได้เป็นระเบียบ ซึ่งช่วยอธิบายปัญหาที่เกิดขึ้นอย่างชัดเจน วิธีนี้ช่วยให้เราเข้าใจและแก้ไขปัญหาได้ง่ายขึ้น และช่วยให้คุณได้รับเงินรางวัลเร็วขึ้นเช่นกัน หากต้องการเรียนรู้วิธีเขียนรายงานช่องโหว่รับเงินรางวัลอย่างมีประสิทธิภาพ กรุณาอ่านโพสต์นี้เพื่อดูเคล็ดลับที่เป็นประโยชน์

หากคุณเขียนและรวบรวมรายงานเสร็จแล้ว กรุณานำส่งได้ที่ bug@mega.nz

ช่องโหว่ที่เข้าเกณฑ์มีอะไรบ้าง

  • เซิร์ฟเวอร์ของเรามีความเสี่ยงที่จะถูกเรียกใช้โค้ดจากระยะไกล รวมถึงข้อบกพร่องในการโจมตีแบบแทรก SQL
  • การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์
  • การดำเนินการโค้ดจากระยะไกลสามารถเกิดขึ้นได้บนเบราว์เซอร์ไคลเอนต์ใด ๆ เช่น ผ่านการเขียนสคริปต์ข้ามไซต์ ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์ของผู้ใช้
  • สิ่งใดก็ตามที่บ่อนทำลายรูปแบบการรักษาความปลอดภัยแบบเข้ารหัสของเรา และอนุญาตให้เข้าถึงคีย์หรือข้อมูลจากระยะไกลโดยไม่ได้รับอนุญาต หรือผ่านการดัดแปลง
  • การควบคุมการเข้าถึงและการข้ามการรับรองความถูกต้องอาจส่งผลให้เกิดการเขียนทับและการลบคีย์หรือข้อมูลผู้ใช้โดยไม่ได้รับอนุญาต
  • ปัญหาใด ๆ ที่ทำให้ข้อมูลบัญชีผู้ใช้มีความเสี่ยงเมื่ออีเมลที่เกี่ยวข้องถูกบุกรุก

ช่องโหว่ที่ไม่เข้าเกณฑ์มีอะไรบ้าง

  • สิ่งใดก็ตามที่จำเป็นต่อการมีส่วนร่วมของผู้ใช้ เช่น การโจมตีแบบฟิชชิงและวิศวกรรมสังคม
  • บัญชีผู้ใช้ที่มีรหัสผ่านที่ไม่รัดกุม
  • ช่องโหว่ที่ต้องการคำขอเซิร์ฟเวอร์จำนวนมากเพื่อโจมตี
  • การโจมตีที่ต้องใช้เครื่องไคลเอ็นต์ที่ถูกบุกรุก
  • ปัญหาที่เกิดจากการใช้เบราว์เซอร์ไคลเอนต์ที่ไม่สนับสนุนหรือล้าสมัย
  • ปัญหาใด ๆ ที่จำเป็นต้องเข้าถึงทางกายภาพศูนย์ข้อมูล (กรุณาดูสถานการณ์จำกัดขอบเขตด้านล่างที่อนุญาตเซิร์ฟเวอร์ที่ถูกบุกรุก)
  • ช่องโหว่ในบริการที่ดำเนินการโดยบริษัทภายนอก เช่น ตัวแทนจำหน่าย เป็นต้น
  • การโจมตีใด ๆ ที่เกี่ยวข้องกับการโอเวอร์โหลด ใช้ทรัพยากรจนหมด หรือทำให้เกิดการปฏิเสธการให้บริการ
  • สถานการณ์ใดก็ตามที่เกี่ยวข้องกับการใช้ใบรับรอง SSL ปลอม
  • สถานการณืใด ๆ ที่ต้องใช้พลังประมวลผลสูง เช่น การดำเนินการเข้ารหัสลับมากกว่า 2^60 หรือการเข้าถึงคอมพิวเตอร์ควอนตัมที่ใช้งานได้ นโยบายนี้ยังใช้กับช่องโหว่ใด ๆ ที่เกิดขึ้นจากตัวเลขสุ่มที่คาดคะเนได้ตามที่ถูกกล่าวหา แต่เฉพาะในกรณีที่มีหลักฐานที่เป็นรูปธรรมของจุดอ่อนจริงเท่านั้น แทนที่จะเป็นเพียงการคาดเดาทั่วไป หากคุณสามารถแสดงให้เห็นถึงจุดอ่อนที่แท้จริงได้ เราจะพิจารณาว่าเป็นรายงานช่องโหว่ที่เข้าเกณฑ์
  • บั๊กหรือปัญหาใด ๆ ที่ไม่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัย

สถานการณ์แบบใดบ้างที่ฉันสามารถรายงานได้

โหนด CDN แบบคงที่ถูกบุกรุก (*.static.mega.co.nz)

สมมติว่าคุณบุกรุกหนึ่งในเซิร์ฟเวอร์เนื้อหาคงที่ของเราได้สำเร็จ และสามารถจัดการไฟล์ที่ให้บริการจากเซิร์ฟเวอร์นั้น รวมถึงโค้ด JavaScript ทั้งหมด คุณสามารถใช้ความสำเร็จนี้เพื่อเจาะระบบความปลอดภัยโดยรวมของเราได้หรือไม่

ข้อสงวนสิทธิ์: โปรดทราบว่าไม่ได้รวมถึงความเป็นไปได้ในการใช้ประโยชน์จากการกระทำของผู้ใช้ผ่านไฟล์รูปภาพที่แก้ไขแล้ว แม้ว่าอาจถูกพิจารณาว่าเป็นช่องโหว่ที่อาจเกิดขึ้นในบริบทนี้ แต่ก็ไม่ได้รับการยกเว้น

โหนดที่เก็บข้อมูลผู้ใช้ถูกบุกรุก (*.userstorage.mega.co.nz)

สมมติว่าคุณได้รับสิทธิ์เข้าถึงโหนดที่เก็บข้อมูลแบบไม่จำกัดของเราและสามารถจัดการได้อิสระ คุณทราบดีว่าเป้าหมายของคุณกำลังจะดาวน์โหลดไฟล์เฉพาะจากโหนดนั้น แต่คุณไม่มีรหัสสำหรับไฟล์นั้น คุณสามารถแก้ไขเนื้อหาของไฟล์ในลักษณะที่อนุญาตให้ดาวน์โหลดโดยไม่มีข้อผิดพลาดได้หรือไม่

โครงสร้างพื้นฐานหลักที่ถูกบุกรุก (*.api.mega.co.nz)

นี่เป็นสถานการณ์ที่รุนแรงที่สุด สมมติว่าคุณบุกรุกเซิร์ฟเวอร์ API ของเราได้สำเร็จ ซึ่งเป็นแกนหลักในการดำเนินงานของระบบของเรา คุณสามารถหลอกล่อไคลเอนต์ API ให้เปิดเผยคีย์ที่ใช้งานได้สำหรับไฟล์ในบัญชีที่ไม่มีการแชร์ขาออกหรือไม่

ประเภทช่องโหว่ถูกจำแนกอย่างไร

MEGA จำแนกประเภทช่องโหว่ตามความรุนแรงในระดับตั้งแต่ 1 ถึง 6

  • ความรุนแรงระดับ 6
    ข้อบกพร่องพื้นฐานในการออกแบบการเข้ารหัสที่สามารถใช้ประโยชน์ได้โดยทั่วไป
  • ความรุนแรงระดับ 5
    หากมีการละเมิดการควบคุมการเข้าถึงที่สำคัญ หรือหากมีการเรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์หลัก MEGA เช่น อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน ฐานข้อมูล และคลัสเตอร์รูท อาจทำให้เกิดปัญหาที่สำคัญได้
  • ความรุนแรงระดับ 4
    ข้อบกพร่องด้านการออกแบบในการเข้ารหัสที่สามารถใช้ประโยชน์ได้หลังจากโครงสร้างพื้นฐานของเซิร์ฟเวอร์ถูกบุกรุกเท่านั้น ไม่ว่าในขณะที่ระบบยังทำงานอยู่หรือหลังจากที่ปิดระบบไปแล้ว
  • ความรุนแรงระดับ 3
    การรันโค้ดจากระยะไกลบนเบราว์เซอร์ไคลเอ็นต์ผ่านช่องโหว่ที่เรียกกันทั่วไปว่าการเขียนสคริปต์ข้ามไซต์ ซึ่งสามารถถูกโจมตีได้ในสถานการณ์ที่หลากหลาย
  • ความรุนแรงระดับ 2
    ช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ที่สามารถถูกโจมตีได้หลังจากที่คลัสเตอร์เซิร์ฟเวอร์ API ถูกบุกรุกหรือโดยการลักลอบดักข้อมูลเท่านั้น เช่น ออกใบรับรอง TLS/SSL ปลอมรวมกับการจัดการ DNS/BGP
  • ความรุนแรงระดับ 1
    สถานการณ์ที่มีช่องโหว่ที่มีผลกระทบต่ำหรือเหตุการณ์ที่เกิดขึ้นตามทฤษฎีเท่านั้น

ฉันจะได้รับรางวัลประมาณเท่าไหร่

เราเสนอเงินรางวัลสูงถึง 10,000 ยูโรต่อช่องโหว่ ซึ่งอาจแตกต่างกันไป โดยจะขึ้นอยู่กับว่ามีความซับซ้อนและผลกระทบมากน้อยเพียงใด

การรายงานบั๊กและช่องโหว่ที่มีโครงสร้างดีและจัดทำเป็นเอกสารพร้อมพิสูจน์แนวคิดได้ในคุณภาพสูง จะได้รับรางวัลที่ระดับสูงสุดของระดับความรุนแรงที่เกี่ยวข้อง

ใครบ้างที่มีสิทธิ์ได้รับรางวัล

บุคคลที่รายงานช่องโหว่ที่จำลองปัญหาได้และตรวจสอบได้ต่อ MEGA เป็นคนแรกจะมีสิทธิ์ได้รับรางวัล

ใครเป็นผู้มีอำนาจตัดสินใจเกี่ยวกับความถูกต้องของรายงานช่องโหว่ความปลอดภัย

ทีมงานของเราขอสงวนสิทธิ์ในการพิจารณาขั้นสุดท้ายว่ารายงานของคุณตรงตามเกณฑ์ที่จำเป็นหรือไม่ และกำหนดจำนวนเงินรางวัลที่เหมาะสม เราพยายามอย่างยุติธรรมและเป็นกลางในการประเมินของเรา แต่โปรดทราบว่าการส่งรายงานบั๊กแสดงว่าคุณรับทราบและตกลงว่าการตัดสินใจของเราถือเป็นที่สิ้นสุด

ใช้เวลานานเท่าไหร่ที่จะได้รับข่าวเกี่ยวกับช่องโหว่ที่ฉันรายงานไว้

เราตั้งเป้าหมายที่จะตอบกลับรายงานภายในสองสามวันหลังจากได้รับรายงาน หากคุณไม่ได้รับการตอบกลับจากเราภายในระยะเวลานี้ อาจเป็นไปได้ว่ารายงานของคุณมีข้อผิดพลาดหรือไม่มีรายละเอียดเพียงพอที่จะพิจารณาได้อย่างเหมาะสม กรุณาติดตามต่อทางอีเมลหากคุณมั่นใจว่ารายงานของคุณสมบูรณ์และถูกต้อง

เราขอให้คุณปฏิบัติตามนโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย

ซึ่งสอดคล้องกับมาตรฐานอุตสาหกรรม นโยบายนี้ช่วยให้เรามีเวลา 90 วันนับจากเวลาที่เราตรวจสอบและรับทราบช่องโหว่ที่รายงาน เพื่อทดสอบและปรับใช้การแก้ไขที่จำเป็นอย่างเหมาะสม ขอบคุณสำหรับความร่วมมือ.