Инструкция, как сообщить об уязвимости
Мы стремимся быть сильным звеном в вашей цепочке безопасности, используя преимущества шифрования с нулевым разглашением для защиты ваших данных и коммуникаций. Однако никто не идеален, и мы тоже. Вот почему мы будем рады услышать о подходящей уязвимости, если вы обнаружите её в нашем коде или инфраструктуре.
Прежде чем связаться с нами, пожалуйста, прочтите всю информацию на этой странице и следуйте инструкциям.
Как сообщить об уязвимостях?
Мы ценим хорошо структурированные отчёты с чётким объяснением ошибок. Так мы можем воспроизвести и понять проблему, и вы сможете получать более высокие выплаты быстрее. Рекомендуем прочесть этот пост, чтобы узнать, как писать отчёты по наградам за баги.
Когда ваш отчёт будет готов, отправьте его по адресу bug@mega.nz
Что такое подходящие уязвимости?
- Удалённое выполнение кода на любом из наших серверов, включая уязвимости SQL-инъекций.
- Подделка запросов на стороне сервера.
- Удаленное выполнение кода в любом клиентском браузере. Например, с помощью межсайтовых сценариев.
- Всё, что нарушает нашу модель криптографической безопасности и допускает несанкционированный удалённый доступ к ключам или данным или манипуляции с ними.
- Обход управления доступом и аутентификации, который может привести к несанкционированной перезаписи и удалению ключей или пользовательских данных.
- Любая ошибка, которая ставит под угрозу данные аккаунта пользователя в случаях, когда связанный адрес электронной почты скомпрометирован.
Какие уязвимости выходят за рамки программы?
- Всё, что требует активного взаимодействия с пользователем, например, фишинговые атаки и атаки с использованием социальной инженерии.
- Слабые пароли пользовательских аккаунтов.
- Уязвимости, для использования которых требуется большое количество запросов к серверу.
- Атаки с использованием скомпрометированного клиентского устройства.
- Проблемы, возникающие из-за использования неподдерживаемых или устаревших клиентских браузеров.
- Любая проблема, требующая физического доступа к центру обработки данных (см. ниже ограниченные сценарии, допускающие скомпрометированные серверы).
- Уязвимости в сторонних сервисах, таких как реселлеры.
- Любые атаки с перегрузкой, исчерпанием ресурсов и отказом в обслуживании.
- Любые сценарии, основанные на поддельных SSL-сертификатах.
- Всё, что требует экстремальной вычислительной мощности (2^60 криптографических операций или более) или работающего квантового компьютера, включая предположительно предсказуемые случайные числа (если вы можете показать фактическое слабое место, а не общую гипотезу, мы можем рассматривать это как подходящий отчёт о баге).
- Любые баги или проблемы, не связанные с уязвимостями в безопасности.
О каких особых сценариях я могу сообщить?
Скомпрометированный статический CDN-узел(*.static.mega.co.nz)
Предположим, что вы скомпрометировали один из наших серверов статического содержимого и можете манипулировать файлами (включая весь код JavaScript), которые он передаёт. Можете ли вы использовать это достижение, чтобы поставить под угрозу нашу безопасность?
Отказ от ответственности: влияние на действия пользователя через изменённые файлы изображений хотя и является потенциальной уязвимостью в этом контексте, исключается.
Скомпрометированный узел пользовательского хранилища (*.userstorage.mega.co.nz)
Предположим, вы получили доступ к одному из наших узлов хранилища и можете свободно манипулировать им. Вы знаете, что ваша жертва собирается скачать конкретный файл, находящийся на этом узле, но у вас нет его ключа. Можете ли вы манипулировать его содержимым, чтобы оно по-прежнему загружалось без ошибок?
Скомпрометированная основная инфраструктура (*.api.mega.co.nz)
Это наиболее экстремальный сценарий. Предположим, вы скомпрометировали наше операционное сердце — серверы API. Можете ли вы обмануть клиентов API, чтобы они отдали пригодные для использования ключи для файлов в аккаунтах, в которых нет исходящих общих элементов?
Как классифицируются уязвимости?
MEGA классифицирует уязвимости по серьёзности по шкале от 1 до 6.
- 6 класс серьёзности
Фундаментальные недостатки криптографической конструкции, которые обычно можно использовать. - 5 класс серьёзности
Удалённое выполнение кода на основных серверах MEGA, таких как интерфейс прикладного программирования, база данных и корневые кластеры, или серьёзные нарушения управления доступом. - 4 класс серьёзности
Недостатки криптографической конструкции, которые можно использовать только после компрометации серверной инфраструктуры, либо в реальном времени, либо постфактум.. - 3 класс серьёзности
В целом используемое удалённое выполнение кода в клиентских браузерах (межсайтовые сценарии). - 2 класс серьёзности
Межсайтовые сценарии, которые можно использовать только после компрометации кластера серверов API или организации атаки «человек посередине», например путём выдачи поддельного сертификата TLS/SSL плюс манипуляции с DNS/BGP. - 1 класс серьёзности
Все менее опасные или чисто теоретические сценарии уязвимостей.
Какое вознаграждение я получу?
Мы присуждаем до 10 000 евро за каждую уязвимость в зависимости от её сложности и потенциального воздействия.
Качественные отчёты о багах и уязвимостях, которые хорошо структурированы и задокументированы с подтверждением концепции, будут вознаграждены максимально для своего класса серьёзности.
Кто имеет право на вознаграждение?
Первый человек, который сообщит об уязвимости, воспроизводимой и проверяемой MEGA, получит вознаграждение.
Кто принимает решение о действительности отчета об уязвимости?
Решение о том, соответствует ли ваш отчёт требованиям и какую сумму вы получите, остаётся на наше усмотрение. Хотя мы будем честны и великодушны, отправляя отчёт о баге, вы соглашаетесь и принимаете, что наш вердикт является окончательным.
Через какое время я получу ответ по уязвимости, о которой я сообщил?
Мы стараемся отвечать на отчёты в течение нескольких дней после их получения. Если вы не получите ответ в течение этого периода, это может указывать на то, что ваш отчёт ошибочен или в нем недостаточно подробностей, чтобы его можно было рассмотреть должным образом. Если вы уверены, что ваш отчет полный и правильный, напишите нам по электронной почте.
Политика ответственного раскрытия информации
Пожалуйста, соблюдайте стандартную отраслевую политику ответственного раскрытия информации, предусматривающую 90-дневный период с момента проверки и подтверждения отчёта об уязвимости, чтобы у нас было время протестировать и внедрить любые исправления.