หากคุณพบช่องโหว่ด้านความปลอดภัยในโค้ดหรือโครงสร้างพื้นฐานของเรา กรุณาแจ้งให้เราทราบ คุณอาจได้รับรางวัลสูงถึง 10,000 ยูโรต่อช่องโหว่ โดยจะขึ้นอยู่กับว่ามีความซับซ้อนและผลกระทบมากน้อยเพียงใด
เราทำงานอย่างหนักเพื่อรักษาข้อมูลและการสื่อสารของคุณให้ปลอดภัยโดยใช้สิ่งที่เรียกว่า การเข้ารหัสด้วยวิธีซีโร่-นอว์เลจ แต่เช่นเดียวกับคนอื่น ๆ เราไม่ได้สมบูรณ์แบบ ดังนั้น หากคุณตรวจพบช่องโหว่ด้านความปลอดภัยในโค้ดที่เข้าเกณฑ์หรือโครงสร้างพื้นฐานของเรา เรายินดีรับฟังความคิดเห็นจากคุณเป็นอย่างยิ่ง
ก่อนที่จะติดต่อเรา เราขอให้คุณอ่านข้อมูลทั้งหมดในหน้านี้อย่างระมัดระวังและปฏิบัติตามแนวทางที่ให้ไว้
เราขอขอบคุณสำหรับรายงานที่มีการจัดเนื้อหาได้เป็นระเบียบ ซึ่งช่วยอธิบายปัญหาที่เกิดขึ้นอย่างชัดเจน วิธีนี้ช่วยให้เราเข้าใจและแก้ไขปัญหาได้ง่ายขึ้น และช่วยให้คุณได้รับเงินรางวัลเร็วขึ้นเช่นกัน หากต้องการเรียนรู้วิธีเขียนรายงานช่องโหว่รับเงินรางวัลอย่างมีประสิทธิภาพ กรุณาอ่านโพสต์นี้เพื่อดูเคล็ดลับที่เป็นประโยชน์
หากคุณเขียนและรวบรวมรายงานเสร็จแล้ว กรุณานำส่งได้ที่ bug@mega.nz
โหนด CDN แบบคงที่ถูกบุกรุก (*.static.mega.co.nz)
สมมติว่าคุณบุกรุกหนึ่งในเซิร์ฟเวอร์เนื้อหาคงที่ของเราได้สำเร็จ และสามารถจัดการไฟล์ที่ให้บริการจากเซิร์ฟเวอร์นั้น รวมถึงโค้ด JavaScript ทั้งหมด คุณสามารถใช้ความสำเร็จนี้เพื่อเจาะระบบความปลอดภัยโดยรวมของเราได้หรือไม่
ข้อสงวนสิทธิ์: โปรดทราบว่าไม่ได้รวมถึงความเป็นไปได้ในการใช้ประโยชน์จากการกระทำของผู้ใช้ผ่านไฟล์รูปภาพที่แก้ไขแล้ว แม้ว่าอาจถูกพิจารณาว่าเป็นช่องโหว่ที่อาจเกิดขึ้นในบริบทนี้ แต่ก็ไม่ได้รับการยกเว้น
โหนดที่เก็บข้อมูลผู้ใช้ถูกบุกรุก (*.userstorage.mega.co.nz)
สมมติว่าคุณได้รับสิทธิ์เข้าถึงโหนดที่เก็บข้อมูลแบบไม่จำกัดของเราและสามารถจัดการได้อิสระ คุณทราบดีว่าเป้าหมายของคุณกำลังจะดาวน์โหลดไฟล์เฉพาะจากโหนดนั้น แต่คุณไม่มีรหัสสำหรับไฟล์นั้น คุณสามารถแก้ไขเนื้อหาของไฟล์ในลักษณะที่อนุญาตให้ดาวน์โหลดโดยไม่มีข้อผิดพลาดได้หรือไม่
โครงสร้างพื้นฐานหลักที่ถูกบุกรุก (*.api.mega.co.nz)
นี่เป็นสถานการณ์ที่รุนแรงที่สุด สมมติว่าคุณบุกรุกเซิร์ฟเวอร์ API ของเราได้สำเร็จ ซึ่งเป็นแกนหลักในการดำเนินงานของระบบของเรา คุณสามารถหลอกล่อไคลเอนต์ API ให้เปิดเผยคีย์ที่ใช้งานได้สำหรับไฟล์ในบัญชีที่ไม่มีการแชร์ขาออกหรือไม่
MEGA จำแนกประเภทช่องโหว่ตามความรุนแรงในระดับตั้งแต่ 1 ถึง 6
เราเสนอเงินรางวัลสูงถึง 10,000 ยูโรต่อช่องโหว่ ซึ่งอาจแตกต่างกันไป โดยจะขึ้นอยู่กับว่ามีความซับซ้อนและผลกระทบมากน้อยเพียงใด
การรายงานบั๊กและช่องโหว่ที่มีโครงสร้างดีและจัดทำเป็นเอกสารพร้อมพิสูจน์แนวคิดได้ในคุณภาพสูง จะได้รับรางวัลที่ระดับสูงสุดของระดับความรุนแรงที่เกี่ยวข้อง
บุคคลที่รายงานช่องโหว่ที่จำลองปัญหาได้และตรวจสอบได้ต่อ MEGA เป็นคนแรกจะมีสิทธิ์ได้รับรางวัล
ทีมงานของเราขอสงวนสิทธิ์ในการพิจารณาขั้นสุดท้ายว่ารายงานของคุณตรงตามเกณฑ์ที่จำเป็นหรือไม่ และกำหนดจำนวนเงินรางวัลที่เหมาะสม เราพยายามอย่างยุติธรรมและเป็นกลางในการประเมินของเรา แต่โปรดทราบว่าการส่งรายงานบั๊กแสดงว่าคุณรับทราบและตกลงว่าการตัดสินใจของเราถือเป็นที่สิ้นสุด
เราตั้งเป้าหมายที่จะตอบกลับรายงานภายในสองสามวันหลังจากได้รับรายงาน หากคุณไม่ได้รับการตอบกลับจากเราภายในระยะเวลานี้ อาจเป็นไปได้ว่ารายงานของคุณมีข้อผิดพลาดหรือไม่มีรายละเอียดเพียงพอที่จะพิจารณาได้อย่างเหมาะสม กรุณาติดตามต่อทางอีเมลหากคุณมั่นใจว่ารายงานของคุณสมบูรณ์และถูกต้อง
เราขอให้คุณปฏิบัติตามนโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย
ซึ่งสอดคล้องกับมาตรฐานอุตสาหกรรม นโยบายนี้ช่วยให้เรามีเวลา 90 วันนับจากเวลาที่เราตรวจสอบและรับทราบช่องโหว่ที่รายงาน เพื่อทดสอบและปรับใช้การแก้ไขที่จำเป็นอย่างเหมาะสม ขอบคุณสำหรับความร่วมมือ.