Если вы обнаружите уязвимость в нашем коде или инфраструктуре, сообщите нам об этом и получите до 10 000 € за каждую уязвимость, в зависимости от её сложности и потенциального воздействия.
Мы стремимся быть сильным звеном в вашей цепочке безопасности, используя преимущества шифрования с нулевым разглашением для защиты ваших данных и коммуникаций. Однако никто не идеален, и мы тоже. Вот почему мы будем рады услышать о подходящей уязвимости, если вы обнаружите её в нашем коде или инфраструктуре.
Прежде чем связаться с нами, пожалуйста, прочтите всю информацию на этой странице и следуйте инструкциям.
Мы ценим хорошо структурированные отчёты с чётким объяснением ошибок. Так мы можем воспроизвести и понять проблему, и вы сможете получать более высокие выплаты быстрее. Рекомендуем прочесть этот пост, чтобы узнать, как писать отчёты по наградам за баги.
Когда ваш отчёт будет готов, отправьте его по адресу bug@mega.nz
Скомпрометированный статический CDN-узел(*.static.mega.co.nz)
Предположим, что вы скомпрометировали один из наших серверов статического содержимого и можете манипулировать файлами (включая весь код JavaScript), которые он передаёт. Можете ли вы использовать это достижение, чтобы поставить под угрозу нашу безопасность?
Отказ от ответственности: влияние на действия пользователя через изменённые файлы изображений хотя и является потенциальной уязвимостью в этом контексте, исключается.
Скомпрометированный узел пользовательского хранилища (*.userstorage.mega.co.nz)
Предположим, вы получили доступ к одному из наших узлов хранилища и можете свободно манипулировать им. Вы знаете, что ваша жертва собирается скачать конкретный файл, находящийся на этом узле, но у вас нет его ключа. Можете ли вы манипулировать его содержимым, чтобы оно по-прежнему загружалось без ошибок?
Скомпрометированная основная инфраструктура (*.api.mega.co.nz)
Это наиболее экстремальный сценарий. Предположим, вы скомпрометировали наше операционное сердце — серверы API. Можете ли вы обмануть клиентов API, чтобы они отдали пригодные для использования ключи для файлов в аккаунтах, в которых нет исходящих общих элементов?
MEGA классифицирует уязвимости по серьёзности по шкале от 1 до 6.
Мы присуждаем до 10 000 евро за каждую уязвимость в зависимости от её сложности и потенциального воздействия.
Качественные отчёты о багах и уязвимостях, которые хорошо структурированы и задокументированы с подтверждением концепции, будут вознаграждены максимально для своего класса серьёзности.
Первый человек, который сообщит об уязвимости, воспроизводимой и проверяемой MEGA, получит вознаграждение.
Решение о том, соответствует ли ваш отчёт требованиям и какую сумму вы получите, остаётся на наше усмотрение. Хотя мы будем честны и великодушны, отправляя отчёт о баге, вы соглашаетесь и принимаете, что наш вердикт является окончательным.
Мы стараемся отвечать на отчёты в течение нескольких дней после их получения. Если вы не получите ответ в течение этого периода, это может указывать на то, что ваш отчёт ошибочен или в нем недостаточно подробностей, чтобы его можно было рассмотреть должным образом. Если вы уверены, что ваш отчет полный и правильный, напишите нам по электронной почте.
Политика ответственного раскрытия информации
Пожалуйста, соблюдайте стандартную отраслевую политику ответственного раскрытия информации, предусматривающую 90-дневный период с момента проверки и подтверждения отчёта об уязвимости, чтобы у нас было время протестировать и внедрить любые исправления.