إذا اكتشفت ثغرة أمنية في الرماز المصدري/الكود أو البنية التحتية الخاصة بنا، فقم بإبلاغنا بها واحصل على مكافأة تصل إلى 10000 يورو لكل ثغرة أمنية بناءً على مدى تعقيدها وتأثيرها المحتمل.
نحن نسعى جاهدين لنكون رابطًا قويًا في سلسلة الأمان الخاصة بك والاستفادة من مزايا تشفير المعرفة الصفرية لتأمين بياناتك واتصالاتك. ومع ذلك، لا يوجد أحد مثالي ونحن لسنا كذلك. لهذا السبب نود أن نسمع منك إذا اكتشفت ثغرة أمنية مؤهلة في الرماز المصدري/الكود أو البنية التحتية الخاصة بنا.
قبل التواصل معنا، يرجى قراءة جميع المعلومات الواردة في هذه الصفحة واتباع الإرشادات.
نحن نقدر الإبلاغات جيدة التنظيم و التي تشرح المشاكل بوضوح. هذا لأنه يمكننا إعادة إنتاج المشكلة وفهمها ويمكنك أنت الحصول على دفعات أعلى بشكل أسرع. نوصي بقراءة هذا المنشور للحصول على نصائح حول كيفية كتابة تقارير مكافأة الأخطاء.
عندما يكون تقريرك جاهزاً يرجى إرساله إلى bug@mega.nz
عقدةشبكة توصيل المحتوى CDN ثابتة مخترقة(*.static.mega.co.nz)
لنفترض أنك قمت باختراق أحد مخدمات المحتوى الثابت الخاصة بنا وأنك قادر على معالجة الملفات (بما في ذلك جميع أكواد JavaScript) التي يتم تقديمها منه. هل يمكنك الاستفادة من هذا الإنجاز لتهديد أمننا؟
إخلاء المسؤولية: التأثير على أفعال المستخدم من خلال ملفات الصور المعدلة بينما في الواقع فإن الثغرة الأمنية المحتملة في هذا السياق مُستبعدة.
عُقدة تخزين مستخدم مخترقة (*.userstorage.mega.co.nz)
لنفترض أنك تمكنت من الوصول إلى إحدى عقد التخزين الخاصة بنا وأنك قادر على معالجتها بحرية. أنت تعلم أن ضحيتك على وشك تنزيل ملف معين موجود على تلك العقدة لكن ليس لديك مفتاحها. هل يمكنك التلاعب بمحتواه بحيث يستمر التنزيل بدون أخطاء؟
بنية تحتية أساسية مخترقة (* .api.mega.co.nz)
هذا هو السيناريو المبالغ به. لنفترض أنك قد انتهكت قلبنا التشغيلي، مخدمات واجهة برمجة التطبيقات API. هل يمكنك خداع عملاء واجهة برمجة التطبيقات API لتسليم مفاتيح المستخدمة للملفات الموجودة في الحسابات التي لا يوجد فيها على أي مشاركات صادرة؟
تصنف ميغا MEGA الثغرات الأمنية وفقًا لشدتها على مقياس من 1 إلى 6.
نحن نكافئ بما يصل إلى 10000 يورو لكل ثغرة بناءً على مدى تعقيدها وإمكانية تأثيرها.
تقارير الأخطاء والثغرات الأمنية عالية الجودة و حسنة التنظيم وموثقة بإثبات المفهوم ستكون مكافأتها في القمة بالنسبة لكل فئة خطورة.
سيحصل أول شخص يبلغ عن ثغرة أمنية قابلة للتكرار و للتحقق منها بواسطة ميغا MEGA على مكافأة.
إن القرار بشأن ما إذا كان تقريرك مؤهلاً والمبلغ الذي ستتم مكافأته هو وفقًا لتقديرنا. على الرغم من أننا سنكون عادلين وكرماء إلا أنه من خلال تقديم تقرير بالأخطاء فإنك توافق وتقبل أن حكمنا نهائي.
ونحن نهدف إلى الرد على التقارير في غضون أيام قليلة من تلقيها. إذا لم تسمع منا خلال هذا الإطار الزمني، فقد يشير ذلك إلى أن بلاغك خاطئ أو يفتقر إلى التفاصيل الكافية للنظر فيه بشكل صحيح. يرجى المتابعة عبر البريد الإلكتروني إذا كنت واثقًا من أن بلاغك كامل وصحيح.
سياسة الإفصاح المسؤول
يرجى الالتزام بسياسة الإفصاح المسؤول القياسية في الصناعة مع فترة زمنية مدتها 90-يومًا من وقت التحقق من الثغرة الأمنية المبلغ عنها والاعتراف بها لمنحنا الوقت لاختبار ونشر أي إصلاحات.