Nếu bạn phát hiện ra lỗ hỏng bảo mật trong mã hoặc cơ sở hạ tầng của chúng tôi, hãy báo cáo cho chúng tôi và nhận thưởng lên tới 10.000 € cho mỗi lỗ hỏng bảo mật, tùy thuộc vào mức độ phức tạp và khả năng ảnh hưởng của nó.
Chúng tôi cố gắng trở thành một mắt xích vững chắc trong chuỗi bảo mật của bạn, tận dụng lợi ích của mô hình mã hóa vô kiến thức để bảo mật dữ liệu và thông tin liên lạc của bạn. Tuy nhiên, không ai là hoàn hảo và chúng tôi cũng vậy. Đó là lý do tại sao chúng tôi muốn nghe ý kiến của bạn nếu bạn phát hiện ra lỗ hổng đủ điều kiện trong mã hoặc cơ sở hạ tầng của chúng tôi.
Trước khi liên hệ với chúng tôi, vui lòng đọc tất cả thông tin trên trang này và làm theo hướng dẫn.
Chúng tôi đánh giá cao những báo cáo có cấu trúc tốt và giải thích vấn đề một cách rõ ràng. Đó là vì chúng tôi có thể mô phỏng và hiểu được vấn đề, đồng thời bạn có thể nhận được khoản thanh toán cao hơn nhanh hơn. Chúng tôi khuyên bạn nên đọc bài đăng này để biết các mẹo về cách viết báo cáo tiền thưởng lỗi.
Khi báo cáo của bạn đã sẵn sàng, vui lòng gửi nó tới bug@mega.nz
Node CDN tĩnh bị xâm phạm (*.static.mega.co.nz)
Giả sử bạn đã xâm phạm một trong các máy chủ nội dung tĩnh của chúng tôi và có thể thao tác với các tệp (bao gồm tất cả mã JavaScript) được cung cấp từ máy chủ đó. Bạn có thể tận dụng thành tích đó để xâm phạm an ninh của chúng tôi không?
Giới hạn trách nhiệm: Việc tác động đến hành động của người dùng bằng cách thông qua các tệp hình ảnh đã chỉnh sửa mặc dù có thực sự là lỗ hỏng tiềm ẩn trong bối cảnh này, nhưng bị loại khỏi việc này.
Node lưu trữ của người dùng bị xâm phạm (*.userstorage.mega.co.nz)
Giả sử rằng bạn đã có quyền truy cập vào một trong các nút lưu trữ của chúng tôi và có thể thao tác nó một cách tự do. Bạn biết rằng nạn nhân sắp tải xuống một tệp cụ thể nằm trên nút đó, nhưng bạn không có khóa của tệp đó. Bạn có thể thao tác nội dung của nó để nó vẫn tải xuống mà không gặp lỗi không?
Cơ sở hạ tầng cốt lõi bị xâm phạm (*.api.mega.co.nz)
Đây là kịch bản cực đoan nhất. Giả sử rằng bạn đã xâm phạm trung tâm hoạt động của chúng tôi, các máy chủ API. Bạn có thể lừa khách hàng API giao các khóa có thể sử dụng được cho các tệp trong tài khoản không có bất kỳ lượt chia sẻ gửi đi nào trong đó không?
MEGA phân loại các lỗ hỏng theo mức độ nghiêm trọng, theo thang điểm từ 1 đến 6.
Chúng tôi thưởng tới 10.000 EUR cho mỗi lỗ hỏng, tùy thuộc vào độ phức tạp và khả năng ảnh hưởng của nó.
Các báo cáo lỗi và lỗ hổng chất lượng cao có cấu trúc tốt và được ghi lại bằng bằng chứng về khái niệm sẽ được khen thưởng ở mức cao nhất của mỗi mức độ nghiêm trọng.
Người đầu tiên báo cáo lỗ hỏng bảo mật mà MEGA có thể tái tạo và xác minh được sẽ nhận thưởng.
The decision on whether your report qualifies and how much you will be rewarded is at our discretion. While we will be fair and generous, by submitting a bug report, you agree to and accept that our verdict is final.
We aim to reply to reports within a few days of receiving them. If you don’t hear from us within this timeframe, it could indicate that your report is erroneous or lacks sufficient detail to be considered properly. Please follow up via email if you’re confident that your report is complete and correct.
Chính sách tiết lộ có trách nhiệm
Vui lòng tuân thủ chính sách tiết lộ có trách nhiệm theo tiêu chuẩn ngành, trong khoảng thời gian 90 ngày kể từ khi lỗ hổng được báo cáo được xác minh và thừa nhận, để chúng tôi có thời gian kiểm tra và triển khai mọi bản sửa lỗi.