Dacă descoperiți o vulnerabilitate de securitate în codul sau infrastructura noastră, raportați-ne și primiți până la 10.000 € per vulnerabilitate, în funcție de complexitatea și potențialul de impact al acesteia.
Ne străduim să fim o legătură puternică în lanțul dvs. de securitate, profitând de avantajele criptării tip zero pentru a vă securiza datele și comunicațiile. Cu toate acestea, nimeni nu este perfect și nici noi nu suntem. De aceea, ne-ar plăcea să auzim de la dvs. dacă ați descoperit o vulnerabilitate calificată în codul sau infrastructura noastră.
Înainte de a ne contacta, vă rugăm să citiți toate informațiile de pe această pagină și să urmați instrucțiunile.
Apreciem rapoartele care sunt bine structurate și explică clar problemele. Asta pentru că putem reproduce și înțelege problema și puteți primi plăți mai mari mai repede. Vă recomandăm să citiți acest post pentru sfaturi despre cum să scrieți rapoarte de recompense de erori.
Când raportul dvs. este gata, vă rugăm să îl trimiteți la bug@mega.nz
Nod CDN static compromis (*.static.mega.co.nz)
Să presupunem că ați compromis unul dintre serverele noastre de conținut static și sunteți capabil să manipulați fișierele (inclusiv tot codul JavaScript) servite de la acesta. Puteți utiliza această realizare pentru a ne compromite securitatea?
Notă: Influențarea acțiunilor utilizatorilor prin fișiere imagine modificate, deși într-adevăr o potențială vulnerabilitate în acest context, este exclusă.
Nod de stocare utilizator compromis (*.userstorage.mega.co.nz)h
Să presupunem că ați obținut acces la unul dintre nodurile noastre de spațiu de stocare și că îl puteți manipula liber. Știți că victima dvs. este pe cale să descarce un anumit fișier care se află pe acel nod, dar nu aveți cheia acestuia. Puteți manipula conținutul său astfel încât să se descarce în continuare fără o eroare?
Infrastructura de bază compromisă (*.api.mega.co.nz)
Acesta este cel mai extrem scenariu. Să presupunem că ați compromis inima noastră operațională, serverele API. Puteți păcăli clienții API să predea chei utilizabile pentru fișierele din conturile care nu au nicio partajare de ieșire în ele?
MEGA clasifică vulnerabilitățile în funcție de severitate, pe o scară de la 1 la 6.
Acordăm până la 10.000 € per vulnerabilitate, în funcție de complexitatea și potențialul de impact al acesteia.
Rapoartele de erori și vulnerabilități de înaltă calitate, care sunt bine structurate și documentate cu o dovadă a conceptului, vor fi recompensate la capătul superior al fiecărei clase de severitate.
Prima persoană care raportează o vulnerabilitate reproductibilă și verificabilă de MEGA va primi un premiu.
Decizia dacă raportul dvs. se califică și cât de mult vi se va acorda este la discreția noastră. Deși vom fi corecți și generoși, trimițând un raport de eroare, sunteți de acord și acceptați că verdictul nostru este definitiv.
Ne propunem să răspundem la rapoarte în câteva zile de la primirea acestora. Dacă nu auziți de la noi în acest interval de timp, ar putea indica faptul că raportul dvs. este eronat sau nu are suficiente detalii pentru a fi luat în considerare în mod corespunzător. Vă rugăm să urmăriți prin e-mail dacă sunteți sigur că raportul dvs. este complet și corect.
Politica de dezvăluire responsabilă
Vă rugăm să respectați politica de dezvăluire responsabilă a standardului industriei, cu o perioadă de timp de 90 de zile de la data la care vulnerabilitatea raportată este confirmată și confirmată, pentru a ne oferi timp să testăm și să implementăm orice remedieri.