当社のコードやインフラストラクチャにセキュリティの脆弱性を発見した場合は、当社にご報告ください。複雑さと影響の可能性に応じて、1件の脆弱性ごとに最大10000ユーロの報奨金をお支払いいたします。
当社はゼロ知識暗号化の利点を活用してユーザー様のデータと通信を保護し、セキュリティチェーンの強力なリンクとなるよう努めています。しかし、完璧な人はいませんし、私たちもそうではありません。そのため、当社のコードやインフラストラクチャに、該当する脆弱性を発見された場合は、ぜひご連絡ください。
ご連絡いただく前に、このページの情報をすべてお読みになり、指示に従ってください。
当社は、しっかりと構成され、問題を明確にご説明いただくレポートを高く評価しております。なぜなら、それにより当社は、問題を再現して理解することができるからです。また、そのようにご報告された方も、より高い支払いを、より早く受け取ることができます。バグ報奨金レポートの書き方に関するヒントについては、こちらの投稿を読むことをお勧めします。
レポートの準備ができましたら、bug@mega.nzに送信してください。
静的CDNノードが侵害された(*.static.mega.co.nz)
あなたは当社の静的コンテンツサーバーの1つに侵入し、そこから提供されるファイル(すべてのJavaScriptコードを含む)を操作できると仮定しましょう。その成果を利用して、当社のセキュリティを危険にさらすことはできますか?
免責事項:変更された画像ファイルを通じてユーザーの操作に影響を与えることは、実際にはこのコンテキストでの潜在的な脆弱性ではありますが、除外されています。
ユーザーストレージノードが侵害された (*.userstorage.mega.co.nz)
あなたは当社のストレージノードの1つにアクセスできるようになり、それを自由に操作できると仮定しましょう。また、あなたは、被害者がそのノードにある特定のファイルをダウンロードしようとしていることはわかっている一方で、そのキーを持っていません。エラーなしで、ダウンロードできるようにそのコンテンツを操作できますか?
コアインフラストラクチャが侵害された (*.api.mega.co.nz)
これは最も極端なシナリオです。あなたは当社の運用の心臓部である、APIサーバーを侵害したとしましょう。APIクライアントをだまして、発信共有を持たないアカウント内のファイルの使用可能なキーを引き渡すことはできますか?
MEGAは、1から6までのスケールで、重大度に従って脆弱性を分類します。
その複雑さと潜在的な影響の大きさに応じて、脆弱性1件につき最大10000ユーロの報奨金をお支払いいたします。
しっかりと構成され、概念実証で文書化された高品質のバグおよび脆弱性レポートは、各重大度クラスの最上位で報われます。
MEGAによって再現可能かつ検証可能な脆弱性をご報告された最初の方に、報奨金賞をお支払いいたします。
あなたのレポートが適格であるかどうか、および報奨金の額は、当社の裁量に委ねられています。当社は公平かつ寛大ですが、バグレポートを送信されることにより、あなたは当社の判断が最終的なものであることに同意し、受け入れることになります。
ご報告を拝受後、数日以内にご返信するよう努めております。この期間内に当社から連絡がない場合は、ご報告に誤りがあるか、十分な詳細が不足しており、適切ではないとみなされている可能性があります。ご報告が完全かつ正確であると確信できる場合は、お手数ですがメールで当社にご連絡ください。
責任ある開示ポリシー
ご報告された脆弱性が検証されて確認されてから90日間の期間を設けるという、業界標準の責任ある開示ポリシーを遵守し、当社に修正をテストしてデプロイする時間を与えてください。