Petunjuk tentang cara melaporkan kerentanan
Kami berusaha untuk menjadi tautan yang kuat dalam rantai keamanan anda, memanfaatkan manfaat enkripsi tanpa pengetahuan untuk mengamankan data dan komunikasi anda. Namun, tidak ada yang sempurna, dan kami juga tidak. Itulah mengapa kami ingin mendengar dari anda jika anda telah menemukan kerentanan yang memenuhi syarat dalam kode atau infrastruktur kami.
Sebelum menghubungi kami, harap baca semua informasi di halaman ini dan ikuti petunjuknya.
Bagaimana cara saya melaporkan kerentanan?
Kami menghargai laporan yang terstruktur dengan baik dan menjelaskan masalahnya dengan jelas. Itu karena kami dapat mereproduksi dan memahami masalahnya, dan anda dapat menerima pembayaran yang lebih tinggi dengan lebih cepat. Kami merekomendasikan membaca postingan iniuntuk tips tentang cara menulis laporan bug bounty.
Jika laporan anda sudah siap, silakan kirimkan ke bug@mega.nz
Apa itu kerentanan yang memenuhi syarat?
- Eksekusi kode jarak jauh di salah satu server kami, termasuk kelemahan injeksi SQL.
- Pemalsuan permintaan sisi server
- Eksekusi kode jarak jauh pada browser klien apa pun; misalnya, melalui skrip lintas situs.
- Apa pun yang merusak model keamanan kriptografi kami dan memungkinkan akses jarak jauh tanpa izin ke kunci atau data, atau manipulasinya
- Melewati kontrol akses dan autentikasi yang dapat menyebabkan penimpaan dan penghapusan kunci atau data pengguna yang tidak sah
- Masalah apa pun yang membahayakan data akun pengguna jika alamat email terkait disusupi
Apa itu kerentanan di luar cakupan?
- Apa pun yang secara aktif membutuhkan interaksi pengguna, seperti serangan phishing dan rekayasa sosial
- Kata sandi akun pengguna yang lemah
- Kerentanan yang membutuhkan banyak permintaan server untuk dieksploitasi
- Serangan yang membutuhkan mesin klien yang disusupi.
- Masalah yang terjadi melalui penggunaan browser klien yang tidak didukung atau usang.
- Masalah apa pun yang memerlukan akses pusat data fisik (lihat di bawah untuk skenario cakupan terbatas yang memungkinkan server yang disusupi).
- Kerentanan dalam layanan yang dioperasikan pihak ketiga, seperti pengecer
- Jenis serangan yang kelebihan muatan, kehabisan sumber daya, dan penolakan layanan
- Skenario apa pun yang mengandalkan sertifikat SSL palsu.
- Apa pun yang membutuhkan daya komputasi ekstrem (2^60 operasi kriptografi atau lebih) atau komputer kuantum yang berfungsi, termasuk angka acak yang diduga dapat diprediksi (jika anda dapat menunjukkan kelemahan sebenarnya daripada dugaan umum, kami dapat menganggapnya sebagai laporan bug yang memenuhi syarat)
- Bug atau masalah apa pun yang tidak terkait dengan kerentanan keamanan
Apa sajakah skenario khusus yang dapat saya laporkan?
Node CDN statis yang disusupi (*.static.mega.co.nz)
Anggaplah anda telah menyusupi salah satu server konten statis kami dan dapat memanipulasi file (termasuk semua kode JavaScript) yang disajikan darinya. Bisakah anda memanfaatkan pencapaian itu untuk membahayakan keamanan kami?
Penafian: Mempengaruhi tindakan pengguna melalui file gambar yang dimodifikasi, meski memang potensi kerentanan dalam konteks ini, dikecualikan.
Node penyimpanan pengguna yang disusupi (*.userstorage.mega.co.nz)
Anggaplah anda telah mendapatkan akses ke salah satu node penyimpanan kami dan dapat memanipulasinya dengan bebas. Anda tahu bahwa korban anda akan mengunduh file tertentu yang berada di node itu, tetapi anda tidak memiliki kuncinya. Bisakah anda memanipulasi kontennya agar tetap diunduh tanpa kesalahan?
Infrastruktur inti yang dikompromikan (*.api.mega.co.nz)
Ini adalah skenario paling ekstrim. Anggaplah anda telah membahayakan jantung operasional kami, server API. Bisakah anda mengelabui klien API agar menyerahkan kunci yang dapat digunakan untuk file di akun yang tidak memiliki bagian keluar di dalamnya?
Bagaimana kerentanan diklasifikasikan?
MEGA mengklasifikasikan kerentanan berdasarkan tingkat keparahan, dalam skala dari 1 hingga 6.
- Kelas berat 6
Kelemahan desain kriptografi mendasar yang umumnya dapat dieksploitasi. - Kelas berat 5
Eksekusi kode jarak jauh pada server inti MEGA, seperti antarmuka pemrograman aplikasi, basis data, dan kluster akar atau pelanggaran kontrol akses utama. - Kelas berat 4
Cacat desain kriptografi yang dapat dieksploitasi hanya setelah mengompromikan infrastruktur server, baik langsung maupun setelah kematian. - Kelas berat 3
Eksekusi kode jarak jauh yang umumnya dapat dieksploitasi pada browser klien (skrip lintas situs). - Kelas berat 2
Skrip lintas-situs yang dapat dieksploitasi hanya setelah mengkompromikan kluster server API atau memasang serangan man-in-the-middle, misalnya dengan mengeluarkan sertifikat TLS/SSL palsu ditambah manipulasi DNS/BGP. - Kelas berat 1
Semua skenario kerentanan yang berdampak rendah atau murni teoretis.
Berapa imbalan yang akan saya terima?
Kami memberikan imbalan hingga EUR 10.000 untuk setiap kerentanan, bergantung pada kompleksitas dan potensi dampaknya.
Laporan bug dan kerentanan berkualitas tinggi yang terstruktur dengan baik, dan didokumentasikan dengan bukti konsep akan dihargai di ujung atas setiap kelas keparahan.
Siapa yang berhak mendapatkan hadiah?
Orang pertama yang melaporkan kerentanan yang dapat direproduksi dan diverifikasi oleh MEGA akan menerima hadiah.
Siapa yang memutuskan validitas laporan kerentanan?
Keputusan mengenai apakah laporan anda memenuhi syarat dan berapa besar imbalan yang akan anda peroleh bergantung pada kebijaksanaan kami. Meskipun kami akan bersikap adil dan murah hati, dengan mengirimkan laporan bug, anda setuju dan menerima bahwa keputusan kami bersifat final.
Berapa lama waktu yang diperlukan untuk mendengar tentang kerentanan yang telah saya laporkan?
Kami bertujuan untuk membalas laporan dalam beberapa hari setelah menerimanya. Jika anda tidak mendengar kabar dari kami dalam jangka waktu ini, hal ini dapat menunjukkan bahwa laporan anda salah atau kurang detail untuk dipertimbangkan dengan baik. Silakan tindak lanjuti melalui email jika anda yakin bahwa laporan anda sudah lengkap dan benar.
Kebijakan pengungkapan yang bertanggung jawab
Harap patuhi kebijakan pengungkapan tanggung jawab standar industri, dengan jangka waktu 90 hari sejak kerentanan yang dilaporkan diverifikasi dan diakui, untuk memberi kami waktu untuk menguji dan menerapkan perbaikan apa pun.