报告我们代码中的漏洞

如果您在我们的代码或基础架构中发现了安全漏洞并向我们报告,根据其复杂性和影响潜力,每个漏洞可获得最高10,000欧元的奖励。

我如何报告漏洞?
什么是合格的漏洞?
什么是范围之外的漏洞?
我可以报告哪些特殊情况?
漏洞是如何分类的?
我将获得多少奖励?
谁有资格获得奖励?
谁决定漏洞报告的有效性?
我报告的漏洞需要多久可以获得回应?

关于如何报告漏洞的说明

我们努力成为您安全链中的一个强有力的环节,利用零知识加密的好处来保护您的数据和通讯。然而,没有人是完美的,我们也不是吗,这就是为什么如果您在我们的代码或基础设施中发现一个合格的漏洞,我们很想听到您的意见的原因。

在与我们联系之前,请阅读本页面的所有信息,并按照说明操作。

我如何报告漏洞?

我们非常重视结构良好且清晰阐述问题的报告。因为这可以让我们复现和理解问题,而且您可以更快地获得更高的报酬。我们推荐阅读这篇文章,了解如何撰写漏洞奖励报告的技巧。

当您的报告准备就绪,请将其发送至bug@mega.nz

什么是合格的漏洞?

  • 在我们的任何服务器上执行远程代码,包括SQL注入缺陷。
  • 服务器端请求伪造。
  • 在任何客户端浏览器上进行远程代码执行;例如,通过跨网站的脚本攻击。
  • 任何破坏我们的加密安全模型和允许未经授权的远程访问密钥或数据,或操纵它们的行为。
  • 访问控制和认证绕过,可能导致未经授权的覆盖和删除密钥或用户数据。
  • 在相关电子邮件地址被危及的情况下,任何危及用户账户数据的问题。

什么是范围之外的漏洞?

  • 任何主动要求用户互动的行为,如网络钓鱼和社会工程学攻击。
  • 弱用户密码。
  • 需要大量的服务器请求才能利用的漏洞。
  • 需要被损害的客户端机器的攻击。
  • 通过使用不支持的或过时的客户端浏览器发生的问题。
  • 任何需要访问物理数据中心的问题(见下文中允许被破坏的服务器的有限范围方案)。
  • 第三方运营的服务中的漏洞,如经销商。
  • 任何过载、资源耗尽和拒绝服务类型的攻击。
  • 任何依赖伪造的SSL证书的情况。
  • 任何需要极大计算能力(2^60加密运算或更多)或需要一台量子计算机才能完成的事情,包括据称是可预测的随机数(如果您能够展示实际漏洞而非一般猜测,我们可能会将其视为符合条件的漏洞报告)。
  • 任何与安全漏洞无关的错误或问题。

我可以报告哪些特殊情况?

受损的静态CDN节点(*.static.mega.co.nz)

让我们假设您已经入侵了我们的一个静态内容服务器,并能够操纵从中提供的文件(包括所有的JavaScript代码)。您会利用这一成就来危及我们的安全吗?

免责声明:通过修改图像文件影响用户行为,虽然在这种情况下确实是一个潜在的漏洞,但被排除在外。

受损的用户存储节点(*.userstorage.mega.co.nz)。

假设您已经获得了我们其中一个存储节点的访问权限,并且能够自由地操纵它。您知道您的受害者即将下载一个驻留在该节点上的特定文件,但是您没有它的密钥。您是否能够操纵其内容,以便仍然可以下载而没有错误吗?

受损的核心架构(*.api.mega.co.nz)

这是最极端的情况。假设您已经破坏我们的运营核心,即API服务器。您是否能够欺骗API客户端交出没有任何传出共享的账户中文件的可用密钥吗?

漏洞是如何分类的?

MEGA根据严重程度对漏洞进行分类,等级从1到6。

  • 严重等级6
    基本的加密设计漏洞,通常可以被利用。
  • 严重等级5
    在核心MEGA服务器上进行远程代码执行,例如应用编程接口、数据库和根集群或重大访问控制漏洞。
  • 严重等级4
    仅在服务器基础设施被入侵后才能利用的密码设计漏洞,无论服务器是否正在运行或已经停止运行。
  • 严重等级3
    客户端浏览器中普遍存在的可利用远程代码执行漏洞(跨站脚本攻击)。
  • 严重等级2
    仅在入侵API服务器集群或发动中间人攻击后才能被利用的跨站脚本攻击,例如通过发放虚假的TLS/SSL证书以及DNS/BGP操纵。
  • 严重等级1
    所有影响较小或纯粹理论上的漏洞情况。

我将获得多少奖励?

我们会根据每个漏洞的复杂性和影响潜力,最高授予每个漏洞高达10,000欧元的奖励。

结构良好并有概念性证明记录的优质错误和漏洞报告,将获得每个严重等级的最高等级奖励。

谁有资格获得奖励?

第一个向MEGA报告漏洞的人,并且该漏洞可被MEGA重现和验证,此人将获得奖励。

谁决定漏洞报告的有效性?

您的报告是否符合条件以及您将获得多少奖励是由我们决定。虽然我们会公平和慷慨地对待,但是通过提交漏洞报告,表示您同意并接受我们的最终判决。

我报告的漏洞需要多久可以获得回应?

我们的目标是在收到举报后的几天内予以答复。如果您在这段时间内没有收到我们的回复,则可能表明您的报告有误或缺少足够的细节,无法被进行适当的考虑。如果您确信自己的报告完整且正确,请通过电子邮件进行跟进。

责任披露政策

请遵守行业标准的责任披露政策,从报告的漏洞被核实和确认之日起,有90天的时间,以便我们测试和部署任何修复措施。