Instrucciones sobre cómo reportar una vulnerabilidad
Somos un eslabón fuerte en tu cadena de seguridad gracias a nuestro cifrado de conocimiento cero que protege tus datos y comunicaciones. Sin embargo nadie es perfecto, y nosotros tampoco. Es por eso que si descubres una vulnerabilidad en nuestro código o infraestructura nos encantaría saberlo.
Antes de ponerte en contacto con nosotros, lee toda la información de esta página y sigue las instrucciones.
¿Cómo informo de una vulnerabilidad?
Valoramos los informes bien estructurados y que explican el problema con claridad. Esto nos facilita reproducir y comprender el problema, y agiliza el pago. Te aconsejamos leereste post para obtener consejos sobre cómo escribir informes de recompensas por vulnerabilidades.
Cuando tu informe esté listo, envíalo a bug@mega.nz
¿Cuáles son las vulnerabilidades aceptadas?
- Ejecución remota de código en cualquiera de nuestros servidores, incluidas fallas de inyección SQL.
- Falsificaciones de solicitudes del lado del servidor.
- Ejecución remota de código en cualquier navegador; por ejemplo, a través de secuencias de comandos entre sitios.
- Cualquier cosa que rompa nuestro modelo de seguridad criptográfica y permita el acceso remoto no autorizado a claves o datos, o la manipulación de los mismos.
- Omisiones de control de acceso y autenticación que podrían conducir a la sobrescritura y eliminación no autorizadas de claves o datos de usuario.
- Cualquier problema que ponga en peligro los datos de la cuenta del usuario en los casos en que la dirección de correo electrónico asociada se vea comprometida.
¿Cuáles son las vulnerabilidades no aceptadas?
- Cualquier cosa que requiera activamente la interacción del usuario, como phishing y ataques de ingeniería social.
- Contraseñas débiles de cuentas de usuario.
- Vulnerabilidades que requieran una gran cantidad de solicitudes del servidor para ocurrir.
- Ataques que requieran una máquina comprometida.
- Problemas que ocurran a través del uso de navegadores no compatibles u obsoletos.
- Cualquier problema que requiera acceso físico al centro de datos (consulta a continuación los escenarios permitidos que tienen en cuenta servidores comprometidos).
- Vulnerabilidades en servicios operados por terceros, como revendedores.
- Cualquier tipo de sobrecarga, agotamiento de recursos y ataques DoS.
- Cualquier escenario que dependa de certificados SSL falsificados.
- Cualquier cosa que requiera una potencia informática extrema (2^60 operaciones criptográficas o más) o un equipo cuántico en funcionamiento, incluidos números aleatorios supuestamente predecibles. Si puedes demostrar una debilidad real en lugar de una conjetura general, podríamos considerarlo como un informe de error válido.
- Cualquier error o problema no relacionado con las vulnerabilidades de seguridad.
¿Qué escenarios especiales puedo reportar?
Nodo CDN estático comprometido(*.static.mega.co.nz)
Supongamos que has comprometido uno de nuestros servidores de contenido estático y puedes manipular los archivos (incluido todo el código JavaScript) que contiene. ¿Podrías aprovechar esta situación para poner en riesgo nuestra seguridad?
Aviso: Se excluye influir en las acciones del usuario a través de archivos de imagen modificados, aunque de hecho sea una vulnerabilidad potencial en este contexto.
Nodo de almacenamiento de usuario comprometido(*.userstorage.mega.co.nz)
Supongamos que has obtenido acceso a uno de nuestros nodos de almacenamiento y puedes manipularlo libremente. Sabes que tu víctima está a punto de descargar un archivo en particular que reside en ese nodo, pero no tienes su clave. ¿Puedes manipular su contenido para que se descargue sin errores?
Infraestructura central comprometida (*.api.mega.co.nz)
Este es el escenario más extremo. Supongamos que has comprometido nuestro corazón operativo, los servidores API. ¿Puedes engañar a los clientes del API para que te entreguen claves utilizables para archivos almacenados en cuentas que no contienen elementos compartidos salientes?
¿Cómo se clasifican las vulnerabilidades?
MEGA clasifica las vulnerabilidades según su gravedad, en una escala del 1 al 6.
- Gravedad 6
Defectos graves de diseño cifrado que generalmente son explotables. - Gravedad 5
Ejecución remota de código en los servidores principales de MEGA, como la interfaz de programación de aplicaciones, la base de datos y los clústeres raíz o graves infracciones del control de acceso. - Gravedad 4
Defectos de diseño cifrado que pueden explotarse solo después de comprometer la infraestructura del servidor, ya sea en vivo o post-mortem. - Gravedad 3
Ejecución remota de código generalmente explotable en navegadores de clientes (secuencias de comandos entre sitios). - Gravedad 2
Secuencias de comandos entre sitios que pueden explotarse solo después de comprometer el clúster del servidor API o montar un ataque man-in-the-middle, por ejemplo, mediante la emisión de un certificado TLS/SSL falso más la manipulación de DNS/BGP. - Gravedad 1
Todos los escenarios de vulnerabilidad de bajo impacto o puramente teóricos.
¿Cuánto me van a recompensar?
Pagamos hasta 10.000 EUR por cada vulnerabilidad, dependiendo de su complejidad y potencial de impacto.
Los informes de error y vulnerabilidades de alta calidad que estén bien estructurados y documentados con una prueba de concepto serán recompensados con el máximo nivel de cada clase de gravedad.
¿Quién puede optar a una recompensa?
La primera persona que reporte una vulnerabilidad que sea reproducible y verificable por MEGA recibirá una recompensa.
¿Quién decide si el informe de vulnerabilidad es válido o no?
La decisión sobre la validez de un informe y sobre la recompensa que recibirás queda a nuestra discreción. Si bien seremos justos y generosos, al enviar un informe de error aceptas que nuestro veredicto sea definitivo.
¿Cuánto tiempo tarda la respuesta sobre una vulnerabilidad que he reportado?
Nuestro objetivo es responder a los informes a los pocos días de haberlos recibido. Si no recibes noticias dentro de este plazo, significa que tu informe es erróneo o carece de los detalles suficientes para tomarlo en consideración. Haz un seguimiento por correo electrónico solo si estás seguro de que tu informe está completo y es correcto.
Política de divulgación responsable
Tendrás que cumplir con la política de divulgación responsable estándar de la industria, y esperar 90 días desde que se verifica y reconoce la vulnerabilidad, para darnos tiempo de probar e implementar cualquier corrección.