Informa de una vulnerabilidad en nuestro código y obtén hasta 10,000 € por cada vulnerabilidad, dependiendo de su complejidad y potencial de impacto.
Somos un eslabón fuerte en tu cadena de seguridad gracias a nuestro cifrado de conocimiento cero que protege tus datos y comunicaciones. Sin embargo nadie es perfecto, y nosotros tampoco. Es por eso que si descubres una vulnerabilidad en nuestro código o infraestructura nos encantaría saberlo.
Antes de ponerte en contacto con nosotros, lee toda la información de esta página y sigue las instrucciones.
Valoramos los informes bien estructurados y que explican el problema con claridad. Esto nos facilita reproducir y comprender el problema, y agiliza el pago. Te aconsejamos leereste post para obtener consejos sobre cómo escribir informes de recompensas por vulnerabilidades.
Cuando tu informe esté listo, envíalo a bug@mega.nz
Nodo CDN estático comprometido(*.static.mega.co.nz)
Supongamos que has comprometido uno de nuestros servidores de contenido estático y puedes manipular los archivos (incluido todo el código JavaScript) que contiene. ¿Podrías aprovechar esta situación para poner en riesgo nuestra seguridad?
Aviso: Se excluye influir en las acciones del usuario a través de archivos de imagen modificados, aunque de hecho sea una vulnerabilidad potencial en este contexto.
Nodo de almacenamiento de usuario comprometido(*.userstorage.mega.co.nz)
Supongamos que has obtenido acceso a uno de nuestros nodos de almacenamiento y puedes manipularlo libremente. Sabes que tu víctima está a punto de descargar un archivo en particular que reside en ese nodo, pero no tienes su clave. ¿Puedes manipular su contenido para que se descargue sin errores?
Infraestructura central comprometida (*.api.mega.co.nz)
Este es el escenario más extremo. Supongamos que has comprometido nuestro corazón operativo, los servidores API. ¿Puedes engañar a los clientes del API para que te entreguen claves utilizables para archivos almacenados en cuentas que no contienen elementos compartidos salientes?
MEGA clasifica las vulnerabilidades según su gravedad, en una escala del 1 al 6.
Pagamos hasta 10.000 EUR por cada vulnerabilidad, dependiendo de su complejidad y potencial de impacto.
Los informes de error y vulnerabilidades de alta calidad que estén bien estructurados y documentados con una prueba de concepto serán recompensados con el máximo nivel de cada clase de gravedad.
La primera persona que reporte una vulnerabilidad que sea reproducible y verificable por MEGA recibirá una recompensa.
La decisión sobre la validez de un informe y sobre la recompensa que recibirás queda a nuestra discreción. Si bien seremos justos y generosos, al enviar un informe de error aceptas que nuestro veredicto sea definitivo.
Nuestro objetivo es responder a los informes a los pocos días de haberlos recibido. Si no recibes noticias dentro de este plazo, significa que tu informe es erróneo o carece de los detalles suficientes para tomarlo en consideración. Haz un seguimiento por correo electrónico solo si estás seguro de que tu informe está completo y es correcto.
Política de divulgación responsable
Tendrás que cumplir con la política de divulgación responsable estándar de la industria, y esperar 90 días desde que se verifica y reconoce la vulnerabilidad, para darnos tiempo de probar e implementar cualquier corrección.