Wenn Sie eine Sicherheitslücke in unserem Code oder unserer Infrastruktur entdecken, melden Sie sie an uns. Je nach Komplexität und den möglichen Auswirkungen erhalten Sie eine Prämie von bis zu 10.000 € pro Sicherheitslücke.
Wir sind bestrebt, ein starkes Glied in Ihrer Sicherheitskette zu sein, indem wir Ihre Daten und Ihre Kommunikation durch Zero-Knowledge-Verschlüsselung schützen. Aber niemand ist perfekt, auch wir nicht. Deshalb würden wir uns freuen, von Ihnen zu hören, wenn Sie eine Sicherheitslücke in unserem Code oder unserer Infrastruktur entdeckt haben, die unsere Qualifizierungskriterien erfüllt.
Bevor Sie sich an uns wenden, lesen Sie bitte alle Informationen auf dieser Seite und befolgen Sie die Anweisungen.
Wir freuen uns auf gut strukturierte Meldungen, die das Problem klar erläutern. Dadurch können wir das Problem reproduzieren und nachvollziehen, und Sie erhalten in kürzerer Zeit höhere Auszahlungen. Für Tipps zum Schreiben von Bug-Bounty-Meldungen empfehlen wir Ihnen die Lektüre dieses Artikels.
Wenn Ihre Meldung fertiggestellt ist, senden Sie ihn bitte an bug@mega.nz.
Kompromittierter statischer CDN-Knoten (*.static.mega.co.nz)
Nehmen wir an, Sie haben einen unserer Server für statische Inhalte kompromittiert und sind in der Lage, die Dateien (einschließlich des gesamten JavaScript-Codes) zu manipulieren, die über diesen Server bereitgestellt werden. Können Sie dies dazu nutzen, unsere Sicherheit zu kompromittieren?
Hinweis: Die Beeinflussung von Benutzeraktionen durch veränderte Bilddateien ist ausgeschlossen, auch wenn dies in diesem Kontext eine potenzielle Sicherheitslücke darstellt.
Kompromittierter Benutzerspeicher-Knoten (*.userstorage.mega.co.nz)
Nehmen wir an, Sie sind in einen unserer Speicherknoten eingedrungen und können diesen frei manipulieren. Sie wissen, dass Ihr Opfer demnächst eine bestimmte Datei von diesem Knoten herunterlädt, aber Sie kennen den Schlüssel zu dieser Datei nicht. Können Sie den Inhalt der Datei so manipulieren, dass der Download trotzdem ohne Fehler abläuft?
Kompromittierte Kerninfrastruktur (*.api.mega.co.nz)
Dies ist das extremste Szenario. Nehmen wir an, Sie haben den Kern unserer operativen Aktivitäten kompromittiert – unsere API-Server. Können Sie API-Clients dazu bringen, verwendbare Schlüssel für Dateien in Accounts herauszugeben, die keine ausgehenden Freigaben enthalten?
MEGA klassifiziert Sicherheitslücken nach Schweregrad auf einer Skala von 1 bis 6.
Je nach Komplexität und den möglichen Auswirkungen beträgt die Prämie bis zu 10.000 Euro pro Sicherheitslücke.
Für qualitativ hochwertige Fehler- und Sicherheitslückenmeldungen, die gut strukturiert und mit einem Proof-of-Concept dokumentiert sind, wird eine Belohnung am oberen Ende der jeweiligen Schweregradklasse ausgezahlt.
Die erste Person, die eine durch MEGA reproduzierbare und verifizierbare Sicherheitslücke meldet, erhält eine Prämie.
Die Entscheidung darüber, ob Ihre Meldung unsere Qualifizierungskriterien erfüllt und wie hoch die Prämie ausfällt, liegt in unserem Ermessen. Wir sind zwar bestrebt, fair und großzügig vorzugehen, aber durch das Einreichen eines Fehlerberichts erkennen Sie die Endgültigkeit unserer Entscheidung an.
Wir bemühen uns, Berichte innerhalb weniger Tage nach Erhalt zu beantworten. Wenn Sie innerhalb dieses Zeitraums nichts von uns hören, könnte dies daran liegen, dass Ihr Bericht fehlerhaft ist oder nicht genügend Details enthält, um angemessen geprüft zu werden. Bitte schreiben Sie eine weitere E-Mail, wenn Sie sich sicher sind, dass Ihr Bericht vollständig und korrekt ist.
Richtlinien für eine verantwortungsvolle Offenlegung
Bitte halten Sie sich an die branchenüblichen Richtlinien für die verantwortungsvolle Offenlegung von Sicherheitslücken, die eine Frist von 90 Tagen ab dem Zeitpunkt vorsehen, zu dem die gemeldete Sicherheitslücke verifiziert und bestätigt wurde, um uns genügend Zeit zu geben, etwaige Korrekturen zu testen und bereitzustellen.