如果您在我们的代码或基础架构中发现了安全漏洞并向我们报告,根据其复杂性和影响潜力,每个漏洞可获得最高10,000欧元的奖励。
我们努力成为您安全链中的一个强有力的环节,利用零知识加密的好处来保护您的数据和通讯。然而,没有人是完美的,我们也不是吗,这就是为什么如果您在我们的代码或基础设施中发现一个合格的漏洞,我们很想听到您的意见的原因。
在与我们联系之前,请阅读本页面的所有信息,并按照说明操作。
我们非常重视结构良好且清晰阐述问题的报告。因为这可以让我们复现和理解问题,而且您可以更快地获得更高的报酬。我们推荐阅读这篇文章,了解如何撰写漏洞奖励报告的技巧。
当您的报告准备就绪,请将其发送至bug@mega.nz
受损的静态CDN节点(*.static.mega.co.nz)
让我们假设您已经入侵了我们的一个静态内容服务器,并能够操纵从中提供的文件(包括所有的JavaScript代码)。您会利用这一成就来危及我们的安全吗?
免责声明:通过修改图像文件影响用户行为,虽然在这种情况下确实是一个潜在的漏洞,但被排除在外。
受损的用户存储节点(*.userstorage.mega.co.nz)。
假设您已经获得了我们其中一个存储节点的访问权限,并且能够自由地操纵它。您知道您的受害者即将下载一个驻留在该节点上的特定文件,但是您没有它的密钥。您是否能够操纵其内容,以便仍然可以下载而没有错误吗?
受损的核心架构(*.api.mega.co.nz)
这是最极端的情况。假设您已经破坏我们的运营核心,即API服务器。您是否能够欺骗API客户端交出没有任何传出共享的账户中文件的可用密钥吗?
MEGA根据严重程度对漏洞进行分类,等级从1到6。
我们会根据每个漏洞的复杂性和影响潜力,最高授予每个漏洞高达10,000欧元的奖励。
结构良好并有概念性证明记录的优质错误和漏洞报告,将获得每个严重等级的最高等级奖励。
第一个向MEGA报告漏洞的人,并且该漏洞可被MEGA重现和验证,此人将获得奖励。
您的报告是否符合条件以及您将获得多少奖励是由我们决定。虽然我们会公平和慷慨地对待,但是通过提交漏洞报告,表示您同意并接受我们的最终判决。
我们的目标是在收到举报后的几天内予以答复。如果您在这段时间内没有收到我们的回复,则可能表明您的报告有误或缺少足够的细节,无法被进行适当的考虑。如果您确信自己的报告完整且正确,请通过电子邮件进行跟进。
责任披露政策
请遵守行业标准的责任披露政策,从报告的漏洞被核实和确认之日起,有90天的时间,以便我们测试和部署任何修复措施。