تعليمات حول كيفية الإبلاغ عن ثغرة أمنية
نحن نسعى جاهدين لنكون رابطًا قويًا في سلسلة الأمان الخاصة بك والاستفادة من مزايا تشفير المعرفة الصفرية لتأمين بياناتك واتصالاتك. ومع ذلك، لا يوجد أحد مثالي ونحن لسنا كذلك. لهذا السبب نود أن نسمع منك إذا اكتشفت ثغرة أمنية مؤهلة في الرماز المصدري/الكود أو البنية التحتية الخاصة بنا.
قبل التواصل معنا، يرجى قراءة جميع المعلومات الواردة في هذه الصفحة واتباع الإرشادات.
كيف يمكنني الإبلاغ عن ثغرات أمنية؟
نحن نقدر الإبلاغات جيدة التنظيم و التي تشرح المشاكل بوضوح. هذا لأنه يمكننا إعادة إنتاج المشكلة وفهمها ويمكنك أنت الحصول على دفعات أعلى بشكل أسرع. نوصي بقراءة هذا المنشور للحصول على نصائح حول كيفية كتابة تقارير مكافأة الأخطاء.
عندما يكون تقريرك جاهزاً يرجى إرساله إلى bug@mega.nz
ما هي الثغرات الأمنية المؤهلة؟
- تنفيذ الرماز المصدري/الكود عن بُعد على أي من مخدمتنا بما في ذلك عيوب حقن SQL injection.
- تزوير الطلب من جانب-المخدم.
- تنفيذ الرماز المصدري/الكود عن بُعد على أي متصفح للعميل، على سبيل المثال: من خلال البرمجة النصية عبر المواقع.
- أي شيء يكسر نموذج أمان التشفير الخاص بنا ويسمح بالوصول عن بُعد غير مصرح به إلى المفاتيح أو البيانات أو التلاعب بها.
- التجاوزات في التحكم بالولوج والمصادقة التي قد تؤدي إلى الكتابة غير المصرح بها وحذف مفاتيح أو بيانات المستخدم.
- أي مشكلة تعرض بيانات حساب المستخدم للخطر في الحالات التي يتم فيها اختراق عنوان البريد الإلكتروني المرتبط
ما هي الثغرات الأمنية خارج النطاق؟
- أي شيء يتطلب تفاعل المستخدم بشكل نشط مثل هجمات التصيد الاحتيالي وهجمات الهندسة الاجتماعية.
- كلمات مرور ضعيفة لحساب مستخدم.
- الثغرات الأمنية التي تتطلب عددًا كبيرًا من طلبات المخدم ليتم استغلالها.
- الهجمات التي تتطلب جهاز عميل مُخترق.
- المشكلات التي تحدث من خلال استخدام متصفحات العميل غير المدعومة أو القديمة.
- أي مشكلة تتطلب الوصول الفعلي إلى مركز البيانات (انظر أدناه للاطلاع على سيناريوهات محدودة المجال التي تُسمح بالمخدمات المخترقة).
- الثغرات الأمنية في الخدمات المدارة من قبل طرف خارجي مثل البائعين.
- أي نوع من هجمات التحميل الزائد و استنزاف الموارد ورفض الخدمة.
- أي سيناريو يعتمد على شهادات SSL مزورة.
- أي شيء يتطلب قوة حوسبة قصوى (2^60 عملية تشفير أو أكثر) أو جهاز كمبيوتر كمي يتضمن الأرقام العشوائية التي يُزعم أنها يمكن التنبؤ بها (إذا كنت قادرًا على إظهار نقطة ضعف فعلية بدلاً من التخمين العام فقد نعتبر ذلك بمثابة تقرير خطأ مؤهل).
- أي أخطاء أو مشكلات لا تتعلق بالثغرات الأمنية.
ما هي بعض السيناريوهات الخاصة التي يمكنني الإبلاغ عنها؟
عقدةشبكة توصيل المحتوى CDN ثابتة مخترقة(*.static.mega.co.nz)
لنفترض أنك قمت باختراق أحد مخدمات المحتوى الثابت الخاصة بنا وأنك قادر على معالجة الملفات (بما في ذلك جميع أكواد JavaScript) التي يتم تقديمها منه. هل يمكنك الاستفادة من هذا الإنجاز لتهديد أمننا؟
إخلاء المسؤولية: التأثير على أفعال المستخدم من خلال ملفات الصور المعدلة بينما في الواقع فإن الثغرة الأمنية المحتملة في هذا السياق مُستبعدة.
عُقدة تخزين مستخدم مخترقة (*.userstorage.mega.co.nz)
لنفترض أنك تمكنت من الوصول إلى إحدى عقد التخزين الخاصة بنا وأنك قادر على معالجتها بحرية. أنت تعلم أن ضحيتك على وشك تنزيل ملف معين موجود على تلك العقدة لكن ليس لديك مفتاحها. هل يمكنك التلاعب بمحتواه بحيث يستمر التنزيل بدون أخطاء؟
بنية تحتية أساسية مخترقة (* .api.mega.co.nz)
هذا هو السيناريو المبالغ به. لنفترض أنك قد انتهكت قلبنا التشغيلي، مخدمات واجهة برمجة التطبيقات API. هل يمكنك خداع عملاء واجهة برمجة التطبيقات API لتسليم مفاتيح المستخدمة للملفات الموجودة في الحسابات التي لا يوجد فيها على أي مشاركات صادرة؟
كيف يتم تصنيف الثغرات الأمنية؟
تصنف ميغا MEGA الثغرات الأمنية وفقًا لشدتها على مقياس من 1 إلى 6.
- فئة الخطورة 6
عيوب تصميم التشفير الأساسية التي يمكن استغلالها بشكل عام. - فئة الخطورة 5
تنفيذ الرماز المصدري/الكود عن بُعد على مخدمات ميغا MEGA الأساسية مثل واجهة برمجة التطبيقات وقاعدة البيانات ومجموعات الجذر أو الانتهاكات الرئيسية للتحكم في الولوج. - فئة الخطورة 4
عيوب تصميم التشفير التي لا يمكن استغلالها إلا بعد الإضرار بالبنية التحتية بالمخدم سواء كانت عاملة أو خارجة عن الخدمة. - فئة الخطورة 3
بشكل عام تنفيذ الرماز المصدري/الكود عن بُعد القابل للاستغلال على متصفحات العميل (البرمجة النصية عبر المواقع). - فئة الخطورة 2
السكريبتات عبر المواقع Cross-site scripting التي لا يمكن استغلالها إلا بعد اختراق عناقيد مخدمات الـ API أو من خلال زرع هجوم رجل في الوسط man-in-the-middle، على سبيل المثال إصدار شهادة مزيفة TLS/SSL بالإضافة إلى التلاعب بسجلات الـ DNS/BGP. - فئة الخطورة 1
جميع سيناريوهات الثغرات الأمنية ذات التأثير المنخفض أو السيناريوهات النظرية البحتة.
ما المبلغ الذي سأحصل كجائزة؟
نحن نكافئ بما يصل إلى 10000 يورو لكل ثغرة بناءً على مدى تعقيدها وإمكانية تأثيرها.
تقارير الأخطاء والثغرات الأمنية عالية الجودة و حسنة التنظيم وموثقة بإثبات المفهوم ستكون مكافأتها في القمة بالنسبة لكل فئة خطورة.
من هو المؤهل للحصول على جائزة؟
سيحصل أول شخص يبلغ عن ثغرة أمنية قابلة للتكرار و للتحقق منها بواسطة ميغا MEGA على مكافأة.
من الذي يقرر صحة تقرير الثغرات الأمنية؟
إن القرار بشأن ما إذا كان تقريرك مؤهلاً والمبلغ الذي ستتم مكافأته هو وفقًا لتقديرنا. على الرغم من أننا سنكون عادلين وكرماء إلا أنه من خلال تقديم تقرير بالأخطاء فإنك توافق وتقبل أن حكمنا نهائي.
كم من الوقت يستغرق حتى أسمع عن الثغرة الأمنية التي أبلغت عنها؟
ونحن نهدف إلى الرد على التقارير في غضون أيام قليلة من تلقيها. إذا لم تسمع منا خلال هذا الإطار الزمني، فقد يشير ذلك إلى أن بلاغك خاطئ أو يفتقر إلى التفاصيل الكافية للنظر فيه بشكل صحيح. يرجى المتابعة عبر البريد الإلكتروني إذا كنت واثقًا من أن بلاغك كامل وصحيح.
سياسة الإفصاح المسؤول
يرجى الالتزام بسياسة الإفصاح المسؤول القياسية في الصناعة مع فترة زمنية مدتها 90-يومًا من وقت التحقق من الثغرة الأمنية المبلغ عنها والاعتراف بها لمنحنا الوقت لاختبار ونشر أي إصلاحات.