Als u een beveiligingsprobleem in onze code of infrastructuur ontdekt, meld dit dan aan ons en ontvang een beloning tot € 10.000 per kwetsbaarheid, afhankelijk van de complexiteit en het impactpotentieel ervan.
We streven ernaar een sterke schakel in uw beveiligingsketen te zijn, door gebruik te maken van de voordelen van zero-knowledge codering om uw gegevens en communicatie te beveiligen. Niemand is echter perfect, en wij ook niet. Daarom horen we graag van u als u een kwalificerende kwetsbaarheid in onze code of infrastructuur hebt ontdekt.
Lees voordat u contact met ons opneemt eerst alle informatie op deze pagina en volg de instructies.
We waarderen rapportages die goed gestructureerd zijn en de problemen duidelijk uitleggen. Dat komt omdat we het probleem kunnen reproduceren en begrijpen, en u sneller hogere uitbetalingen kunt ontvangen. We raden aan dit bericht te lezen voor tips over het schrijven van bug bounty-rapporten.
Wanneer uw rapportage klaar is, verstuur het naar bug@mega.nz
Gecompromitteerd statisch CDN-node (*.static.mega.co.nz)
Laten we aannemen dat u een van onze servers met statische inhoud hebt gecompromitteerd en in staat bent om de bestanden (inclusief alle JavaScript-code) die vanaf deze servers worden geleverd, te manipuleren. Kunt u die prestatie gebruiken om onze veiligheid in gevaar te brengen?
Disclaimer: Het beïnvloeden van gebruikersacties door middel van gewijzigde afbeeldingsbestanden is in deze context weliswaar een potentiële kwetsbaarheid, maar is uitgesloten.
Aangetaste gebruiker opslag node (*.userstorage.mega.co.nz)
Laten we aannemen dat u toegang heeft gekregen tot een van onze nodes en deze vrijelijk kunt manipuleren. U weet dat uw slachtoffer op het punt staat een bepaald bestand op dat knooppunt te downloaden, maar U heeft de sleutel niet. Kunt u de inhoud manipuleren zodat deze nog steeds zonder fouten wordt gedownload?
Aangetaste kerninfrastructuur(*.api.mega.co.nz)
Dit is het meest extreme scenario. Laten we aannemen dat u ons operationele hart, de API-servers, hebt gecompromitteerd. Kunt u API-klanten misleiden zodat ze bruikbare sleutels opgeven voor bestanden in accounts die geen uitgaande delingen bevatten?
MEGA classificeert kwetsbaarheden naar ernst, op een schaal van 1 tot 6.
We belonen maximaal 10.000 euro per kwetsbaarheid, afhankelijk van de complexiteit en het impactpotentieel ervan.
Hoogwaardige bug- en kwetsbaarheidsrapporten die goed gestructureerd zijn en gedocumenteerd met een proof-of-concept worden beloond aan de bovenkant van elke ernstklasse.
De eerste persoon die een kwetsbaarheid meldt die reproduceerbaar en verifieerbaar is door MEGA, ontvangt een beloning.
De beslissing of uw melding in aanmerking komt en hoeveel u wordt beloond, is naar eigen goeddunken. Hoewel we eerlijk en genereus zullen zijn, gaat u er door het indienen van een bugrapport mee akkoord en accepteert u dat ons oordeel definitief is.
Wij streven ernaar meldingen binnen enkele dagen na ontvangst te beantwoorden. Als u binnen deze termijn niets van ons hoort, kan dit erop wijzen dat uw melding onjuist is of niet voldoende gedetailleerd is om goed in behandeling te kunnen worden genomen. Als u er zeker van bent dat uw rapport volledig en correct is, kunt u dit per e-mail doorgeven.
Beleid inzake verantwoorde openbaarmaking
Houd u aan het industriestandaard beleid voor verantwoorde openbaarmaking, met een periode van 90 dagen vanaf het moment waarop de gemelde kwetsbaarheid is geverifieerd en erkend, om ons de tijd te geven om eventuele fixes te testen en te implementeren.