Se você encontrar uma vulnerabilidade no nosso código ou na nossa infraestrutura, informe-nos e receba até €10.000 por vulnerabilidade, dependendo da complexidade e do potencial de impacto.
Nós nos esforçamos para ser um forte vínculo na sua rede de segurança, alavancando os benefícios da criptografia de conhecimento zero para proteger os seus dados e a sua comunicação. No entanto, ninguém é perfeito, e nós também não somos. É por isso que gostaríamos de saber se você descobrir uma vulnerabilidade qualificada no nosso código ou na nossa infraestrutura.
Antes de entrar em contato conosco, leia todas as informações nesta página e siga as instruções.
Valorizamos informes bem estruturados e com explicações claras, para que possamos reproduzir e entender o problema, e assim você poderá receber pagamentos mais altos mais rapidamente. Recomendamos que você leia este post para obter dicas sobre como fazer informes de recompensas por bugs.
Quando estiver pronto, envie o seu informe a bug@mega.nz
Nó estático CDN comprometido (*.static.mega.co.nz)
Vamos supor que você tenha comprometido um dos nossos servidores de conteúdo estático e seja capaz de manipular os arquivos (incluindo todo o código JavaScript) servidos a partir dele. Você pode aproveitar essa conquista para comprometer a nossa segurança?
Isenção de responsabilidade: influenciar as ações do usuário por meio de arquivos de imagem modificados, embora seja uma vulnerabilidade potencial neste contexto, está excluído.
Nó de armazenamento de usuário comprometido (*.userstorage.mega.co.nz)
Vamos supor que você tenha acesso a um dos nossos nós de armazenamento e possa manipulá-lo livremente. Você sabe que a sua vítima está prestes a fazer o download de um determinado arquivo localizado naquele nó, mas você não tem a chave. Você pode manipular o seu conteúdo para que ele seja baixado sem erros mesmo assim?
Infraestrutura principal comprometida (*.api.mega.co.nz)
Este é o cenário mais extremo. Vamos supor que você tenha comprometido o nosso coração operacional: os servidores API. Você pode enganar os clientes da API para que entreguem as chaves utilizáveis para arquivos em contas que não possuem nenhum compartilhamento de saída?
O MEGA classifica as vulnerabilidades de acordo com a gravidade, em uma escala de 1 a 6.
Oferecemos recompensas de até €10.000 por vulnerabilidade, dependendo da complexidade e do potencial de impacto da mesma.
Relatórios de bugs e vulnerabilidades de alta qualidade bem estruturados e documentados com uma prova de conceito serão recompensados com o máximo de cada nível de gravidade.
A primeira pessoa a informar uma vulnerabilidade que possa ser reproduzida e verificada pelo MEGA receberá uma recompensa.
A decisão sobre se o seu relatório se qualifica e quanto você receberá fica a nosso critério. Embora sejamos justos e generosos, ao enviar um informe de bug, você concorda e aceita que a nossa decisão é definitiva.
O nosso objetivo é dar retorno aos informes alguns dias após recebê-los. Se você não tiver recebido uma resposta neste prazo, pode ser que o seu informe seja incorreto ou não inclua detalhes suficientes para ser estudado de forma adequada. Envie-nos um email se tiver certeza de que seu informe está completo e é correto.
Política de divulgação responsável
Por favor, siga a política de divulgação responsável padrão do setor, com um período de 90 dias a partir da verificação e do reconhecimento da vulnerabilidade relatada, para nos dar tempo para testar e implantar as correções necessárias.