Instrukcje dotyczące sposobu zgłaszania luk w zabezpieczeniach
Staramy się być mocnym ogniwem w łańcuchu bezpieczeństwa, wykorzystując zalety szyfrowania bez wiedzy, aby zabezpieczyć Twoje dane i komunikację. Jednak nikt nie jest doskonały i my również nie jesteśmy. Dlatego chcielibyśmy usłyszeć od Ciebie, czy odkryłeś kwalifikującą się lukę w naszym kodzie lub infrastrukturze.
Przed skontaktowaniem się z nami należy przeczytać wszystkie informacje na tej stronie i postępować zgodnie z instrukcjami.
Jak zgłaszać luki w zabezpieczeniach?
Cenimy raporty, które są dobrze skonstruowane i jasno wyjaśniają problemy. To dlatego, że możemy odtworzyć i zrozumieć problem, a Ty możesz szybciej otrzymać wyższe wypłaty. Polecamy przeczytać ten post, aby dowiedzieć się, jak pisać raporty błędów.
Gdy raport będzie gotowy, prosimy o przesłanie go na adres bug@mega.nz.
Jakie są podatności kwalifikowane?
- Zdalne wykonanie kodu na dowolnym z naszych serwerów, w tym błędy typu SQL injection.
- Fałszowanie żądań po stronie serwera
- Zdalne wykonanie kodu w dowolnej przeglądarce klienta; na przykład poprzez cross-site scripting
- Wszystko, co łamie nasz model bezpieczeństwa kryptograficznego i umożliwia nieautoryzowany zdalny dostęp do kluczy lub danych albo manipulowanie nimi
- Obejścia kontroli dostępu i uwierzytelniania, które mogą prowadzić do nieuprawnionego nadpisywania i usuwania kluczy lub danych użytkownika
- Wszelkie kwestie, które zagrażają danym konta użytkownika w przypadkach, gdy powiązany adres e-mail jest zagrożony
Czym są luki poza zakresem?
- Wszystko, co aktywnie wymaga interakcji użytkownika, takie jak ataki phishingowe i socjotechniczne
- Słabe hasła do kont użytkowników
- Luki, których wykorzystanie wymaga dużej liczby zapytań do serwera
- Ataki wymagające skompromitowanej maszyny klienckiej.
- Problemy wynikające z używania nieobsługiwanych lub przestarzałych przeglądarek klienckich
- Wszelkie kwestie wymagające fizycznego dostępu do centrum danych (zob. poniżej scenariusze o ograniczonym zakresie, które dopuszczają skompromitowane serwery).
- Podatności w usługach obsługiwanych przez strony trzecie, takie jak resellerzy
- Wszelkie ataki typu przeciążenie, wyczerpanie zasobów i denial-of-service
- Każdy scenariusz opierający się na fałszywych certyfikatach SSL
- Wszystko, co wymaga ekstremalnej mocy obliczeniowej (2^60 operacji kryptograficznych lub więcej) lub działającego komputera kwantowego, w tym rzekomo przewidywalne liczby losowe (jeśli jesteś w stanie wykazać rzeczywisty słaby punkt, a nie ogólne przypuszczenia, możemy uznać to za zgłoszenie błędu).
- Wszelkie błędy lub problemy niezwiązane z lukami w zabezpieczeniach
Jakie są specjalne scenariusze, które mogę zgłosić?
Dostęp do CDN (*.static.mega.co.nz)
Załóżmy, że skompromitowałeś jeden z naszych serwerów ze statyczną treścią i jesteś w stanie manipulować plikami (w tym całym kodem JavaScript) serwowanymi z niego. Czy możesz wykorzystać to osiągnięcie, aby naruszyć nasze bezpieczeństwo?
Disclaimer: Wpływanie na działania użytkownika poprzez zmodyfikowane pliki graficzne, choć rzeczywiście stanowi potencjalną podatność w tym kontekście, jest wykluczone.
Dostęp do danych użytkownika (*.userstorage.mega.co.nz)
Załóżmy, że uzyskałeś dostęp do jednego z naszych węzłów serwera i możesz nim dowolnie manipulować. Wiesz, że Twoja ofiara ma zamiar pobrać konkretny plik znajdujący się na tym węźle, ale nie masz jego klucza. Czy możesz manipulować jego zawartością tak, aby nadal pobierał się bez błędu?
Dostęp do infrastruktury (*.api.mega.co.nz)
To jest najbardziej ekstremalny scenariusz. Załóżmy, że skompromitowałeś nasze serce operacyjne, czyli serwery API. Czy możesz oszukać klientów API, aby oddali użyteczne klucze dla plików na kontach, które nie mają w sobie żadnych akcji wychodzących?
Jak klasyfikowane są luki?
MEGA klasyfikuje podatności według ciężkości, w skali od 1 do 6.
- Klasa dotkliwości 6
Podstawowe błędy w konstrukcji kryptograficznej, które można ogólnie wykorzystać. - Klasa dotkliwości 5
Zdalne wykonanie kodu na głównych serwerach MEGA, takich jak interfejs programowania aplikacji, baza danych i klastry główne lub poważne naruszenia kontroli dostępu. - Klasa dotkliwości 4
Błędy w konstrukcji kryptograficznej, które można wykorzystać dopiero po skompromitowaniu infrastruktury serwera, na żywo lub pośmiertnie. - Klasa dotkliwości 3
Generalnie możliwe do wykorzystania zdalne wykonanie kodu na przeglądarkach klientów (cross-site scripting). - Klasa dotkliwości 2
Cross-site scripting, który można wykorzystać tylko po skompromitowaniu klastra serwerów API lub przeprowadzeniu ataku man-in-the-middle, na przykład poprzez wystawienie fałszywego certyfikatu TLS/SSL oraz manipulację DNS/BGP. - Klasa dotkliwości 1
Wszystkie scenariusze podatności o mniejszym wpływie lub czysto teoretyczne.
Jak wysokie będzie moje wynagrodzenie?Jak wysokie będzie moje wynagrodzenie?
Nagradzamy do 10 000 EUR za każdą lukę w zabezpieczeniach, w zależności od jej złożoności i potencjalnego wpływu.
Wysokiej jakości raporty o błędach i lukach, które są dobrze skonstruowane i udokumentowane dowodem koncepcji, będą nagradzane na najwyższym poziomie w każdej klasie dotkliwości.
Kto kwalifikuje się do nagrody?
Pierwsza osoba, która zgłosi lukę możliwą do odtworzenia i zweryfikowania przez MEGA, otrzyma nagrodę.
Kto decyduje o ważnoaści raportu o podatności?
Decyzja o tym, czy zgłoszenie zostanie zakwalifikowane i w jakiej wysokości, zależy od naszego uznania. Chociaż będziemy sprawiedliwi i hojni, przesyłając raport o błędzie, zgadzasz się i akceptujesz, że nasz werdykt jest ostateczny.
Jak długo trwa oczekiwanie na informację o zgłoszonej przeze mnie luce?
Staramy się odpowiadać na zgłoszenia w ciągu kilku dni od ich otrzymania. Jeśli nie otrzymamy odpowiedzi w tym terminie, może to oznaczać, że zgłoszenie jest błędne lub nie zawiera wystarczającej ilości szczegółów, aby mogło zostać prawidłowo rozpatrzone. Jeśli masz pewność, że raport jest kompletny i poprawny, skontaktuj się z nami za pośrednictwem poczty elektronicznej.
Polityka odpowiedzialnego ujawniania informacji
Proszę przestrzegać standardowej w branży polityki odpowiedzialnego ujawniania informacji, z 90-dniowym okresem czasu od momentu zweryfikowania i uznania zgłoszonej luki, aby dać nam czas na przetestowanie i wdrożenie wszelkich poprawek.