Si vous découvrez un défaut de sécurité dans notre code ou notre infrastructure, signalez-le et recevez jusqu’à 10 000 € par vulnérabilité selon sa complexité et son impact potentiel.
Nous nous efforçons d’être un maillon robuste de votre chaîne de sécurité en maximisant les avantages du chiffrement à divulgation nulle de connaissance pour sécuriser vos données et vos communications. Cependant, personne n’est parfait et nous ne le sommes pas non plus. C’est pourquoi nous serions très heureux de vous lire si vous découvriez un défaut de sécurité admissible dans notre code ou notre infrastructure.
Avant de nous contacter, veuillez lire tous les renseignements qui se trouvent sur cette page et suivre les instructions.
Nous valorisons les signalements bien structurés et qui expliquent clairement les problèmes. Cela nous permet de reproduire et de comprendre le problème et vous pouvez recevoir un paiement plus élevé et plus rapidement. Nous vous recommandons de lire cet article (en anglais) qui donne des conseils sur la manière de rédiger des signalements dans le cadre de programme de prime aux bogues.
Votre signalement prêt, veuillez l’envoyer par courriel à bug@mega.nz
Noeud CDN statique compromis (*.static.mega.co.nz)
Supposons que vous avez compromis l’un de nos serveurs de contenu statique et que vous pouvez manipuler les fichiers (dont tout le code JavaScript) servis par ce serveur. Pouvez-vous tirer parti de cette réussite pour compromettre notre sécurité?
Avis : influencer les actions des utilisateurs à partir de fichiers images modifiés, bien que ce soit en effet une vulnérabilité potentielle dans ce contexte, est exclu.
Noeud de stockage client compromis (*.userstorage.mega.co.nz)
Supposons que vous avez obtenu l’accès à l’un de nos nœuds de stockage et que vous pouvez le manipuler à volonté. Vous savez que votre victime s’apprête à télécharger un fichier particulier qui se trouve sur ce nœud, mais vous n’avez pas sa clé. Pouvez-vous manipuler son contenu afin qu’il se télécharge quand même sans erreur ?
Infrastructure centrale compromise (*.api.mega.co.nz)
Ceci est le scénario extrême. Supposons que vous avez compromis notre cœur opérationnel, les serveurs de notre API. Pouvez-vous inciter par la ruse des clients de l’API à livrer les clés utilisables de fichiers dans des comptes qui n’ont aucun partage sortant avec eux ?
MEGA classe les vulnérabilités d’après leur gravité, sur une échelle de 1 à 6.
Nous versons jusqu’à 10 000 € par vulnérabilité selon sa complexité et son impact potentiel.
Des signalements de bogue et de vulnérabilité de haute qualité bien structurés et documentés avec une démonstration de faisabilité seront récompensés au plus haut de chaque niveau de gravité.
La première personne qui signale une vulnérabilité reproductible et que MEGA peut confirmer recevra une récompense.
La décision quant à la qualification de votre signalement et le montant que vous pourriez recevoir est à notre entière discrétion. Bien que nous soyons justes et généreux, en envoyant un signalement de bogues vous acceptez que notre verdict soit final.
Nous nous efforçons de répondre aux signalements dans les jours qui suivent leur réception. Si vous ne recevez pas de réponse dans ce délai, cela peut signifier que votre rapport est erroné ou qu’il n’est pas suffisamment détaillé pour être examiné correctement. Nous vous invitons à nous contacter par courrier électronique si vous êtes certain que votre rapport est complet et correct.
Politique de divulgation responsable de renseignements
Veuillez respecter la norme de l’industrie quant à la politique de divulgation responsable de renseignements, avec une période de 90 jours après réception et confirmation de la vulnérabilité signalée, pour nous donner le temps d’effectuer des essais et d’implémenter les correctifs qui s’imposent.