關於如何報告漏洞的說明
我們努力成為您安全鏈中的一個強有力的環節,利用零知識加密的優勢來保護您的資料和通訊。然而,沒有人是完美的,我們也不是。這就是為什麼如果您在我們的程式碼或基礎架構中發現了確實是漏洞,我們很樂意收到您的來信通知。
在聯繫我們之前,請閱讀此頁面上的所有訊息並按照說明操作。
我如何回報漏洞?
我們重視結構良好並清楚解釋問題的漏洞報告。因為這可以讓我們重現和理解問題,並且您可以更快地獲得更高的報酬。我們建議閱讀本篇文章以了解如何撰寫漏洞賞金報告的提示。
當您的報告準備就緒,請將其發送到bug@mega.nz
什麼是合格的漏洞?
- 在我們的任何伺服器上遠端執行程式碼,包括SQL注入缺陷。
- 伺服器端請求偽造。
- 在任何用戶端瀏覽器上執行遠端程式碼;例如,透過跨網站的程式碼。
- 任何破壞我們的加密安全模型和允許未經授權遠端存取金鑰或資料,或操縱它們的行為。
- 存取控制和驗證繞行,可能會導致未經授權的覆蓋和刪除金鑰或使用者資料。
- 在關聯的電子郵件地址被洩露的情況下,任何危及使用者帳戶資料的問題。
什麼是範圍之外的漏洞?
- 任何主動要求使用者互動的行為,例網路釣魚和社交工程攻擊。
- 弱使用者帳戶密碼。
- 需要大量伺服器請求才能利用的漏洞。
- 需要被洩露的用戶端機器的攻擊。
- 透過使用不支援或過時的用戶端瀏覽器發生的問題。
- 任何需要物理資料中心存取的問題(請參閱下方,瞭解允許伺服器受損的有限範圍情境)。
- 第三方營運服務的漏洞,如經銷商。
- 任何過載、資源耗盡和拒絕服務類型的攻擊。
- 任何依賴偽造SSL憑證的場景。
- 任何需要極端運算能力(2^60密碼操作或更多)或一台量子電腦才能完成的事情,包括據稱可預測的隨機數(如果您能夠展示實際的弱點而不是一般猜測,我們可能會將其視為合格的漏洞報告)。
- 任何與安全漏洞無關的錯誤或問題。
我可以報告哪些特殊情況?
受損的靜態CDN節點(*.static.mega.co.nz)
讓我們假設您已經入侵我們一台靜態內容伺服器,並且能夠操控從中提供檔案(包括所有 JavaScript程式碼)。您會利用這一成就來危及我們的安全嗎?
免責聲明:透過修改圖像檔案影響使用者操作,在這種情況下雖然確實是一個潛在漏洞,但被排除在外。
受損的使用者儲存節點(*.userstorage.mega.co.nz)
假設您已經獲得我們其中一個儲存節點的存取權限,並且能夠自由地操控它。您知道您的受害者將會下載駐留在該節點上的特定檔案,但您沒有它的金鑰。您是否能操控其內容使其仍可正確無誤地下載?
受損的核心基礎設施(*.api.mega.co.nz)
這是最極端的情況。假設您已經破壞我們的營運核心,即API伺服器。您能否誘騙API用戶端交出沒有任何傳出的共享的帳戶中檔案的可用金鑰?
漏洞是如何分類的?
MEGA根據嚴重程度對漏洞進行分類,等級從1到6。
- 嚴重等級6
通常可以利用的基本加密設計缺陷。 - 嚴重等級5
在核心MEGA伺服器上遠端執行程式碼,如應用程式介面、資料庫和根叢集或重大存取控制漏洞。 - 嚴重等級4
僅在伺服器基礎設施損害後才能利用的加密設計缺陷,無論伺服器是即時運行或已停止運作。 - 嚴重等級3
通常可在用戶端瀏覽器上利用的遠端程式碼執行(跨網站程式碼)。 - 嚴重等級2
只有在損壞API伺服器叢集或安裝中間人攻擊後才能利用的跨網站程式碼,例如透過簽發偽造的TLS/SSL憑證加上DNS/BGP操作。 - 嚴重等級1
所有影響較小或純粹理論上漏洞情況。
我將獲得多少獎勵?
根據其複雜性和潛在影響程度,每個漏洞我們最高提供10,000歐元獎勵,
結構良好的高品質錯誤和漏洞報告,並帶有概念驗證的記錄,將獲得每個嚴重等級的最高等級獎勵。
誰有資格獲得獎勵?
第一個向MEGA報告漏洞,而且該漏洞可被MEGA重現和驗證時,此人將獲得獎勵。
誰決定漏洞回報的有效性?
您的報告是否符合條件以及您將獲得多少獎勵是由我們決定。雖然我們會公平和慷慨地對待,但透過提交漏洞報告,表示您同意並接受我們的最終決定。
我報告的漏洞需要多久才會獲得回應?
我們的目標是在收到報告後的幾天內回覆您。如果您在這段時間內沒有收到我們的答覆,這可能表示您的報告是有錯誤的或缺乏足夠的細節來進行考量。如果您確信您的報告完整無誤,請透過電子郵件進行跟進。
負責任披露政策。
請遵守行業標準的負責任披露政策,在回報的漏洞獲得驗證和確認後的90天內,讓我們有時間進行測試和部署任何修復程序。