Instrucțiuni despre cum să raportați o vulnerabilitate
Ne străduim să fim o legătură puternică în lanțul dvs. de securitate, profitând de avantajele criptării tip zero pentru a vă securiza datele și comunicațiile. Cu toate acestea, nimeni nu este perfect și nici noi nu suntem. De aceea, ne-ar plăcea să auzim de la dvs. dacă ați descoperit o vulnerabilitate calificată în codul sau infrastructura noastră.
Înainte de a ne contacta, vă rugăm să citiți toate informațiile de pe această pagină și să urmați instrucțiunile.
Cum raportez vulnerabilitățile?
Apreciem rapoartele care sunt bine structurate și explică clar problemele. Asta pentru că putem reproduce și înțelege problema și puteți primi plăți mai mari mai repede. Vă recomandăm să citiți acest post pentru sfaturi despre cum să scrieți rapoarte de recompense de erori.
Când raportul dvs. este gata, vă rugăm să îl trimiteți la bug@mega.nz
Care sunt vulnerabilitățile calificate?
- Executarea codului de la distanță pe oricare dintre serverele noastre, inclusiv defectele de injecție SQL
- Falsificări de solicitări pe partea serverului.
- Executarea codului de la distanță pe orice browser client; de exemplu, prin scripting cross-site.
- Orice lucru care încalcă modelul nostru de securitate criptografică și permite accesul neautorizat de la distanță la chei sau date sau manipularea acestora.
- Controlul accesului și ocolirea autentificării care ar putea duce la suprascrierea și ștergerea neautorizată a cheilor sau a datelor utilizatorului.
- Orice problemă care pune în pericol datele contului de utilizator în cazurile în care adresa de e-mail asociată este compromisă.
Ce vulnerabilități nu sunt admise?
- Orice lucru care necesită în mod activ interacțiunea cu utilizatorul, cum ar fi atacurile de phishing și inginerie socială.
- Parole slabe de cont de utilizator.
- Vulnerabilități care necesită un număr mare de solicitări de server pentru a exploata.
- Atacuri care necesită o mașină client compromisă.
- Probleme apărute prin utilizarea browserelor client neacceptate sau învechite
- Orice problemă care necesită acces fizic la centrul de date (a se vedea mai jos scenariile cu domeniu limitat care permit servere compromise).
- Vulnerabilități în serviciile operate de terți, cum ar fi revânzătorii.
- Orice tip de supraîncărcare, epuizare a resurselor și atacuri de tip Denial-of-Service.
- Orice scenariu care se bazează pe certificate SSL falsificate.
- Orice lucru care necesită o putere de calcul extremă (2^60 operațiuni criptografice sau mai mult) sau un calculator cuantic funcțional, inclusiv numere aleatorii presupuse previzibile (dacă sunteți capabil să arătați o slăbiciune reală, mai degrabă decât o presupunere generală, am putea considera acest lucru ca un raport de eroare calificat).
- Orice erori sau probleme care nu au legătură cu vulnerabilitățile de securitate.
Care sunt unele scenarii speciale pe care le pot raporta?
Nod CDN static compromis (*.static.mega.co.nz)
Să presupunem că ați compromis unul dintre serverele noastre de conținut static și sunteți capabil să manipulați fișierele (inclusiv tot codul JavaScript) servite de la acesta. Puteți utiliza această realizare pentru a ne compromite securitatea?
Notă: Influențarea acțiunilor utilizatorilor prin fișiere imagine modificate, deși într-adevăr o potențială vulnerabilitate în acest context, este exclusă.
Nod de stocare utilizator compromis (*.userstorage.mega.co.nz)h
Să presupunem că ați obținut acces la unul dintre nodurile noastre de spațiu de stocare și că îl puteți manipula liber. Știți că victima dvs. este pe cale să descarce un anumit fișier care se află pe acel nod, dar nu aveți cheia acestuia. Puteți manipula conținutul său astfel încât să se descarce în continuare fără o eroare?
Infrastructura de bază compromisă (*.api.mega.co.nz)
Acesta este cel mai extrem scenariu. Să presupunem că ați compromis inima noastră operațională, serverele API. Puteți păcăli clienții API să predea chei utilizabile pentru fișierele din conturile care nu au nicio partajare de ieșire în ele?
Cum sunt clasificate vulnerabilitățile?
MEGA clasifică vulnerabilitățile în funcție de severitate, pe o scară de la 1 la 6.
- Clasa de severitate 6
Defecte fundamentale de proiectare criptografică care sunt în general exploatabile. - Clasa de severitate 5
Executarea codului de la distanță pe serverele MEGA de bază, cum ar fi interfața de programare a aplicațiilor, bazele de date și clusterele rădăcină sau încălcări majore ale controlului accesului. - Clasa de severitate 4
Defecte de proiectare criptografică care pot fi exploatate numai după compromiterea infrastructurii serverului, fie live, fie post-mortem. - Clasa de severitate 3
Executarea codului de la distanță exploatabilă în general pe browserele client (scripting cross-site). - Clasa de severitate 2
Scripturi cross-site care pot fi exploatate numai după compromiterea clusterului de server API sau instalarea unui atac man-in-the-middle, de exemplu prin emiterea unui certificat TLS/SSL fals plus manipularea DNS/BGP. - Clasa de severitate 1
Toate scenariile de vulnerabilitate cu impact mai mic sau pur teoretice.
Cât de mult voi fi premiat?
Acordăm până la 10.000 € per vulnerabilitate, în funcție de complexitatea și potențialul de impact al acesteia.
Rapoartele de erori și vulnerabilități de înaltă calitate, care sunt bine structurate și documentate cu o dovadă a conceptului, vor fi recompensate la capătul superior al fiecărei clase de severitate.
Cine este eligibil pentru un premiu?
Prima persoană care raportează o vulnerabilitate reproductibilă și verificabilă de MEGA va primi un premiu.
Cine decide cu privire la validitatea unui raport de vulnerabilitate?
Decizia dacă raportul dvs. se califică și cât de mult vi se va acorda este la discreția noastră. Deși vom fi corecți și generoși, trimițând un raport de eroare, sunteți de acord și acceptați că verdictul nostru este definitiv.
Cât durează să aud despre o vulnerabilitate pe care am raportat-o?
Ne propunem să răspundem la rapoarte în câteva zile de la primirea acestora. Dacă nu auziți de la noi în acest interval de timp, ar putea indica faptul că raportul dvs. este eronat sau nu are suficiente detalii pentru a fi luat în considerare în mod corespunzător. Vă rugăm să urmăriți prin e-mail dacă sunteți sigur că raportul dvs. este complet și corect.
Politica de dezvăluire responsabilă
Vă rugăm să respectați politica de dezvăluire responsabilă a standardului industriei, cu o perioadă de timp de 90 de zile de la data la care vulnerabilitatea raportată este confirmată și confirmată, pentru a ne oferi timp să testăm și să implementăm orice remedieri.