Jeśli odkryjesz lukę w zabezpieczeniach naszego kodu lub infrastruktury, zgłoś ją nam, a otrzymasz wynagrodzenie w wysokości do 10 000 euro za każdą lukę, w zależności od jej złożoności i potencjalnego wpływu.
Staramy się być mocnym ogniwem w łańcuchu bezpieczeństwa, wykorzystując zalety szyfrowania bez wiedzy, aby zabezpieczyć Twoje dane i komunikację. Jednak nikt nie jest doskonały i my również nie jesteśmy. Dlatego chcielibyśmy usłyszeć od Ciebie, czy odkryłeś kwalifikującą się lukę w naszym kodzie lub infrastrukturze.
Przed skontaktowaniem się z nami należy przeczytać wszystkie informacje na tej stronie i postępować zgodnie z instrukcjami.
Cenimy raporty, które są dobrze skonstruowane i jasno wyjaśniają problemy. To dlatego, że możemy odtworzyć i zrozumieć problem, a Ty możesz szybciej otrzymać wyższe wypłaty. Polecamy przeczytać ten post, aby dowiedzieć się, jak pisać raporty błędów.
Gdy raport będzie gotowy, prosimy o przesłanie go na adres bug@mega.nz.
Dostęp do CDN (*.static.mega.co.nz)
Załóżmy, że skompromitowałeś jeden z naszych serwerów ze statyczną treścią i jesteś w stanie manipulować plikami (w tym całym kodem JavaScript) serwowanymi z niego. Czy możesz wykorzystać to osiągnięcie, aby naruszyć nasze bezpieczeństwo?
Disclaimer: Wpływanie na działania użytkownika poprzez zmodyfikowane pliki graficzne, choć rzeczywiście stanowi potencjalną podatność w tym kontekście, jest wykluczone.
Dostęp do danych użytkownika (*.userstorage.mega.co.nz)
Załóżmy, że uzyskałeś dostęp do jednego z naszych węzłów serwera i możesz nim dowolnie manipulować. Wiesz, że Twoja ofiara ma zamiar pobrać konkretny plik znajdujący się na tym węźle, ale nie masz jego klucza. Czy możesz manipulować jego zawartością tak, aby nadal pobierał się bez błędu?
Dostęp do infrastruktury (*.api.mega.co.nz)
To jest najbardziej ekstremalny scenariusz. Załóżmy, że skompromitowałeś nasze serce operacyjne, czyli serwery API. Czy możesz oszukać klientów API, aby oddali użyteczne klucze dla plików na kontach, które nie mają w sobie żadnych akcji wychodzących?
MEGA klasyfikuje podatności według ciężkości, w skali od 1 do 6.
Nagradzamy do 10 000 EUR za każdą lukę w zabezpieczeniach, w zależności od jej złożoności i potencjalnego wpływu.
Wysokiej jakości raporty o błędach i lukach, które są dobrze skonstruowane i udokumentowane dowodem koncepcji, będą nagradzane na najwyższym poziomie w każdej klasie dotkliwości.
Pierwsza osoba, która zgłosi lukę możliwą do odtworzenia i zweryfikowania przez MEGA, otrzyma nagrodę.
Decyzja o tym, czy zgłoszenie zostanie zakwalifikowane i w jakiej wysokości, zależy od naszego uznania. Chociaż będziemy sprawiedliwi i hojni, przesyłając raport o błędzie, zgadzasz się i akceptujesz, że nasz werdykt jest ostateczny.
Staramy się odpowiadać na zgłoszenia w ciągu kilku dni od ich otrzymania. Jeśli nie otrzymamy odpowiedzi w tym terminie, może to oznaczać, że zgłoszenie jest błędne lub nie zawiera wystarczającej ilości szczegółów, aby mogło zostać prawidłowo rozpatrzone. Jeśli masz pewność, że raport jest kompletny i poprawny, skontaktuj się z nami za pośrednictwem poczty elektronicznej.
Polityka odpowiedzialnego ujawniania informacji
Proszę przestrzegać standardowej w branży polityki odpowiedzialnego ujawniania informacji, z 90-dniowym okresem czasu od momentu zweryfikowania i uznania zgłoszonej luki, aby dać nam czas na przetestowanie i wdrożenie wszelkich poprawek.