Jika anda menemukan kerentanan keamanan dalam kode atau infrastruktur kami, laporkan kepada kami dan dapatkan imbalan hingga €10.000 per kerentanan, bergantung pada kompleksitas dan potensi dampaknya.
Kami berusaha untuk menjadi tautan yang kuat dalam rantai keamanan anda, memanfaatkan manfaat enkripsi tanpa pengetahuan untuk mengamankan data dan komunikasi anda. Namun, tidak ada yang sempurna, dan kami juga tidak. Itulah mengapa kami ingin mendengar dari anda jika anda telah menemukan kerentanan yang memenuhi syarat dalam kode atau infrastruktur kami.
Sebelum menghubungi kami, harap baca semua informasi di halaman ini dan ikuti petunjuknya.
Kami menghargai laporan yang terstruktur dengan baik dan menjelaskan masalahnya dengan jelas. Itu karena kami dapat mereproduksi dan memahami masalahnya, dan anda dapat menerima pembayaran yang lebih tinggi dengan lebih cepat. Kami merekomendasikan membaca postingan iniuntuk tips tentang cara menulis laporan bug bounty.
Jika laporan anda sudah siap, silakan kirimkan ke bug@mega.nz
Node CDN statis yang disusupi (*.static.mega.co.nz)
Anggaplah anda telah menyusupi salah satu server konten statis kami dan dapat memanipulasi file (termasuk semua kode JavaScript) yang disajikan darinya. Bisakah anda memanfaatkan pencapaian itu untuk membahayakan keamanan kami?
Penafian: Mempengaruhi tindakan pengguna melalui file gambar yang dimodifikasi, meski memang potensi kerentanan dalam konteks ini, dikecualikan.
Node penyimpanan pengguna yang disusupi (*.userstorage.mega.co.nz)
Anggaplah anda telah mendapatkan akses ke salah satu node penyimpanan kami dan dapat memanipulasinya dengan bebas. Anda tahu bahwa korban anda akan mengunduh file tertentu yang berada di node itu, tetapi anda tidak memiliki kuncinya. Bisakah anda memanipulasi kontennya agar tetap diunduh tanpa kesalahan?
Infrastruktur inti yang dikompromikan (*.api.mega.co.nz)
Ini adalah skenario paling ekstrim. Anggaplah anda telah membahayakan jantung operasional kami, server API. Bisakah anda mengelabui klien API agar menyerahkan kunci yang dapat digunakan untuk file di akun yang tidak memiliki bagian keluar di dalamnya?
MEGA mengklasifikasikan kerentanan berdasarkan tingkat keparahan, dalam skala dari 1 hingga 6.
Kami memberikan imbalan hingga EUR 10.000 untuk setiap kerentanan, bergantung pada kompleksitas dan potensi dampaknya.
Laporan bug dan kerentanan berkualitas tinggi yang terstruktur dengan baik, dan didokumentasikan dengan bukti konsep akan dihargai di ujung atas setiap kelas keparahan.
Orang pertama yang melaporkan kerentanan yang dapat direproduksi dan diverifikasi oleh MEGA akan menerima hadiah.
Keputusan mengenai apakah laporan anda memenuhi syarat dan berapa besar imbalan yang akan anda peroleh bergantung pada kebijaksanaan kami. Meskipun kami akan bersikap adil dan murah hati, dengan mengirimkan laporan bug, anda setuju dan menerima bahwa keputusan kami bersifat final.
Kami bertujuan untuk membalas laporan dalam beberapa hari setelah menerimanya. Jika anda tidak mendengar kabar dari kami dalam jangka waktu ini, hal ini dapat menunjukkan bahwa laporan anda salah atau kurang detail untuk dipertimbangkan dengan baik. Silakan tindak lanjuti melalui email jika anda yakin bahwa laporan anda sudah lengkap dan benar.
Kebijakan pengungkapan yang bertanggung jawab
Harap patuhi kebijakan pengungkapan tanggung jawab standar industri, dengan jangka waktu 90 hari sejak kerentanan yang dilaporkan diverifikasi dan diakui, untuk memberi kami waktu untuk menguji dan menerapkan perbaikan apa pun.