Istruzioni su come segnalare una vulnerabilità
Ci sforziamo di essere un anello resistente nella tua catena della sicurezza, facendo leva sui benefici della criptazione a conoscenza zero per mettere in sicurezza i tuoi dati e le tue comunicazioni. Però nessuno è perfetto, e non lo siamo neanche noi. Ecco perché ci piacerebbe molto sapere da te se hai incontrato una vulnerabilità valida nel nostro codice o nella nostra infrastruttura.
Prima di contattarci, per favore leggi tutte le informazioni su questa pagina e segui le istruzioni.
Come segnalo vulnerabilità?
Diamo valore alle segnalazioni ben strutturate e che spiegano chiaramente il problema. Questo perché è più facile per noi ricreare e capire il problema, e perché tu puoi ricevere ricompense maggiori più velocemente. Ti consigliamo di leggere questo post per consigli su come scrivere segnalazioni di bug.
Quando la tua segnalazione è pronta, per favore inviala a [email protected]
Quali sono le vulnerabilità valide?
- Esecuzioni remote di codice su un nostro server, inclusi difetti di SQL injection.
- Creazione di richieste lato server.
- Esecuzioni remote di codice su qualsiasi browser; ad esempio, tramite script da un altro sito web
- Qualsiasi cosa che va ad intaccare il modello di sicurezza criptografica e permette ad utenti non autorizzati di accedere a chiavi o dati, o la loro manipolazione
- Bypass di controllo dell’accesso ed autenticazione che potrebbe portare ad una sovrascrittura e eliminazione non autorizzata di chiavi o dati
- Qualsiasi problema che mette a repentaglio i dati dell’account utente dove l’email associata è compromessa
Quali sono le vulnerabilità fuori portata?
- Qualsiasi cosa che richiede l’interazione dell’utente, come ad esempio attacchi di phishing e di ingegneria sociale
- Password poco resistenti
- Vulnerabilità che richiedono un gran numero di richieste lato server.
- Attacchi che richiedono un client compromesso.
- Problemi che avvengono durante l’utilizzo di browser non supportati o datati
- Qualsiasi problema che richiede l’accesso fisico ai datacenter (vedi qui sotto per gli scenari con portata limitata che permettono la compromissione dei server).
- Vulnerabilità in servizi di terze parti, come i rivenditori.
- Qualsiasi sovraccarico, esaurimento della risorsa e attacchi di tipo DoS
- Qualsiasi scenario che si basa su certificati SSL modificati.
- Qualsiasi cosa che richiede una potenza estrema di calcolo (di numero uguale o maggiore a 2^60 operazioni criptografiche) o un computer quantico funzionante, inclusa la possibile predizione di numeri random (se riesci a mostrare una vera vulnerabilità nella congettura generale, potremmo considerarla una segnalazione valida).
- Qualsiasi bug o problema non relativo a vulnerabilità di sicurezza
Quali sono alcuni scenari particolari che posso segnalare?
Nodo statico CDN compromesso (*.static.mega.co.nz)
Mettiamo caso che hai compromesso uno dei nostri server statici e puoi manipolare i file (incluso tutto il codice JavaScript) su esso contenuti. Puoi sfruttare quel risultato per compromettere la nostra sicurezza?
Nota bene: influenzare le azioni dell’utente attraverso immagini modificate, nonostante ci sia una vulnerabilità potenziale in questo contesto, è escluso.
Nodo di archiviazione utente compromesso (*.userstorage.mega.co.nz)
Mettiamo caso che hai ottenuto accesso ad uno dei nostri nodi di archiviazione e riesci a manipolarlo liberamente. Sai che la tua vittima sta per scaricare un certo file da quel nodo, ma non hai la sua chiave. Puoi manipolarne il contenuto in modo che venga effettuato il download senza alcun errore?
Infrastruttura compromessa (*.api.mega.co.nz)
Questo è lo scenario più estremo. Mettiamo caso che hai compromesso il cuore delle nostre operazioni, i server API. Puoi ingannare i client in modo che ti diano accesso a chiavi utilizzabili per i file negli account che non hanno alcuna condivisione in uscita?
Come vengono classificate le vulnerabilità?
MEGA classifica le vulnerabilità a seconda della loro severità, su una scala da 1 a 6.
- Severità di classe 6
Errori nel design criptografico fondamentale che possono essere sfruttati. - Severità di classe 5
Esecuzione remota di codice sui server di MEGA, come interfaccia di programmazione dell’applicazione, database, e cluster root o brecce per un controllo importante dell’accesso. - Severità di classe 4
Errori nel design criptografico che possono essere sfruttati solo dopo aver compromesso l’infrastruttura server, sia online che offline. - Severità di classe 3
Esecuzione remota di codice che può essere generalmente sfruttato sui browser (script da un altro sito web). - Severità di classe 2
Script su più siti che possono essere sfruttati solo dopo aver compromesso il server API o dopo un attacco man-in-the-middle, ad esempio con un certificato TLS/SSL falso congiuntamente ad una manipolazione DNS/BGP. - Severità di classe 1
Tutti gli scenari con basso impatto o con vulnerabilità puramente teoretiche.
Quale sarà la ricompensa?
Diamo una ricompensa fino a €10,000 per ogni vulnerabilità, a seconda della sua complessità e del suo impatto potenziale.
Le segnalazioni di bug e di vulnerabilità in alta qualità che sono ben strutturate e documentate con prove verranno ricompensate con il massimo attribuito alla classe a cui appartengono.
Chi viene considerato idoneo ad essere ricompensato?
La prima persona che segnala una vulnerabilità riproducibile e verificabile da MEGA riceverà una ricompensa.
Chi decide sulla validità della segnalazione di una vulnerabilità?
La decisione sulla validità della segnalazione e sull’eventuale ricompensa è a nostra discrezione. Nonostante ti assicuriamo di essere onesti e generosi, inviando la segnalazione di un bug accetti che il nostro verdetto sarà definitivo.
Quanto ci vuole per ricevere novità su una vulnerabilità che ho segnalato?
Puntiamo a rispondere alle segnalazioni entro pochi giorni dalla ricezione. Se non hai avuto una risposta in questa finestra temporale, potrebbe indicare che la tua segnalazione è errata o manca di dettagli sufficienti per essere considerata in modo corretto. Per favore, inviaci un’altra email se credi che la tua segnalazione sia completa e corretta.
Politica di divulgazione responsabile
Per favore, attieniti alla politica di divulgazione responsabile standard nell’industria, con un periodo di 90 giorni da quando la vulnerabilità segnalata viene verificata e riconosciuta, per darci il tempo di sistemarla.