Se scopri una vulnerabilità di sicurezza nel nostro codice o nella nostra infrastruttura, segnalacelo e ottieni una ricompensa fino a €10.000 per ogni vulnerabilità, a seconda della sua complessità e del suo impatto potenziale.
Ci sforziamo di essere un anello resistente nella tua catena della sicurezza, facendo leva sui benefici della criptazione a conoscenza zero per mettere in sicurezza i tuoi dati e le tue comunicazioni. Però nessuno è perfetto, e non lo siamo neanche noi. Ecco perché ci piacerebbe molto sapere da te se hai incontrato una vulnerabilità valida nel nostro codice o nella nostra infrastruttura.
Prima di contattarci, per favore leggi tutte le informazioni su questa pagina e segui le istruzioni.
Diamo valore alle segnalazioni ben strutturate e che spiegano chiaramente il problema. Questo perché è più facile per noi ricreare e capire il problema, e perché tu puoi ricevere ricompense maggiori più velocemente. Ti consigliamo di leggere questo post per consigli su come scrivere segnalazioni di bug.
Quando la tua segnalazione è pronta, per favore inviala a bug@mega.nz
Nodo statico CDN compromesso (*.static.mega.co.nz)
Mettiamo caso che hai compromesso uno dei nostri server statici e puoi manipolare i file (incluso tutto il codice JavaScript) su esso contenuti. Puoi sfruttare quel risultato per compromettere la nostra sicurezza?
Nota bene: influenzare le azioni dell’utente attraverso immagini modificate, nonostante ci sia una vulnerabilità potenziale in questo contesto, è escluso.
Nodo di archiviazione utente compromesso (*.userstorage.mega.co.nz)
Mettiamo caso che hai ottenuto accesso ad uno dei nostri nodi di archiviazione e riesci a manipolarlo liberamente. Sai che la tua vittima sta per scaricare un certo file da quel nodo, ma non hai la sua chiave. Puoi manipolarne il contenuto in modo che venga effettuato il download senza alcun errore?
Infrastruttura compromessa (*.api.mega.co.nz)
Questo è lo scenario più estremo. Mettiamo caso che hai compromesso il cuore delle nostre operazioni, i server API. Puoi ingannare i client in modo che ti diano accesso a chiavi utilizzabili per i file negli account che non hanno alcuna condivisione in uscita?
MEGA classifica le vulnerabilità a seconda della loro severità, su una scala da 1 a 6.
Diamo una ricompensa fino a €10,000 per ogni vulnerabilità, a seconda della sua complessità e del suo impatto potenziale.
Le segnalazioni di bug e di vulnerabilità in alta qualità che sono ben strutturate e documentate con prove verranno ricompensate con il massimo attribuito alla classe a cui appartengono.
La prima persona che segnala una vulnerabilità riproducibile e verificabile da MEGA riceverà una ricompensa.
La decisione sulla validità della segnalazione e sull’eventuale ricompensa è a nostra discrezione. Nonostante ti assicuriamo di essere onesti e generosi, inviando la segnalazione di un bug accetti che il nostro verdetto sarà definitivo.
Puntiamo a rispondere alle segnalazioni entro pochi giorni dalla ricezione. Se non hai avuto una risposta in questa finestra temporale, potrebbe indicare che la tua segnalazione è errata o manca di dettagli sufficienti per essere considerata in modo corretto. Per favore, inviaci un’altra email se credi che la tua segnalazione sia completa e corretta.
Politica di divulgazione responsabile
Per favore, attieniti alla politica di divulgazione responsabile standard nell’industria, con un periodo di 90 giorni da quando la vulnerabilità segnalata viene verificata e riconosciuta, per darci il tempo di sistemarla.