Instruções sobre como informar uma vulnerabilidade
Nós nos esforçamos para ser um forte vínculo na sua rede de segurança, alavancando os benefícios da criptografia de conhecimento zero para proteger os seus dados e a sua comunicação. No entanto, ninguém é perfeito, e nós também não somos. É por isso que gostaríamos de saber se você descobrir uma vulnerabilidade qualificada no nosso código ou na nossa infraestrutura.
Antes de entrar em contato conosco, leia todas as informações nesta página e siga as instruções.
Como faço para informar sobre vulnerabilidades?
Valorizamos informes bem estruturados e com explicações claras, para que possamos reproduzir e entender o problema, e assim você poderá receber pagamentos mais altos mais rapidamente. Recomendamos que você leia este post para obter dicas sobre como fazer informes de recompensas por bugs.
Quando estiver pronto, envie o seu informe a [email protected]
Que tipo de vulnerabilidades qualificam?
- Execução remota de código em qualquer um dos nossos servidores, incluindo falhas de injeção de SQL.
- Falsificações de solicitações por parte do servidor.
- Execução remota de código em qualquer navegador cliente; por exemplo, por meio de script entre sites.
- Qualquer coisa que penetre o nosso modelo de segurança criptográfica e permita o acesso remoto não autorizado a chaves ou a dados, ou a manipulação deles.
- Controle de acesso e desvios de autenticação que podem levar à substituição e exclusão não autorizadas de chaves ou de dados do usuário.
- Qualquer problema que comprometa os dados da conta do usuário nos casos em que o email associado tiver sido comprometido.
O que são vulnerabilidades fora do alcance?
- Qualquer coisa que exija ativamente a interação do usuário, como ataques de phishing e de engenharia social.
- Senhas fracas de contas de usuário.
- Vulnerabilidades que exigem um grande número de solicitações do servidor para serem exploradas.
- Ataques que requerem uma máquina cliente comprometida.
- Problemas que ocorrem devido ao uso de navegadores não suportados ou desatualizados.
- Qualquer problema que exija acesso físico ao centro de dados (veja abaixo os cenários de alcance limitado permitidos por servidores comprometidos)..
- Vulnerabilidades em serviços operados por terceiros, como revendedores.
- Qualquer tipo de ataque de sobrecarga, esgotamento de recursos e negação de serviço.
- Qualquer cenário que dependa de certificados SSL forjados.
- Qualquer coisa que exija poder de computação extremo (2^60 operações criptográficas ou mais) ou um computador quântico funcional, incluindo números aleatórios supostamente previsíveis (se você for capaz de mostrar uma fraqueza real em vez de uma conjectura geral, podemos considerar isso como um informe de bug qualificado).
- Qualquer bug ou problema não relacionado a vulnerabilidades de segurança.
Quais são os cenários especiais que eu posso informar?
Nó estático CDN comprometido (*.static.mega.co.nz)
Vamos supor que você tenha comprometido um dos nossos servidores de conteúdo estático e seja capaz de manipular os arquivos (incluindo todo o código JavaScript) servidos a partir dele. Você pode aproveitar essa conquista para comprometer a nossa segurança?
Isenção de responsabilidade: influenciar as ações do usuário por meio de arquivos de imagem modificados, embora seja uma vulnerabilidade potencial neste contexto, está excluído.
Nó de armazenamento de usuário comprometido (*.userstorage.mega.co.nz)
Vamos supor que você tenha acesso a um dos nossos nós de armazenamento e possa manipulá-lo livremente. Você sabe que a sua vítima está prestes a fazer o download de um determinado arquivo localizado naquele nó, mas você não tem a chave. Você pode manipular o seu conteúdo para que ele seja baixado sem erros mesmo assim?
Infraestrutura principal comprometida (*.api.mega.co.nz)
Este é o cenário mais extremo. Vamos supor que você tenha comprometido o nosso coração operacional: os servidores API. Você pode enganar os clientes da API para que entreguem as chaves utilizáveis para arquivos em contas que não possuem nenhum compartilhamento de saída?
Como as vulnerabilidades são classificadas?
O MEGA classifica as vulnerabilidades de acordo com a gravidade, em uma escala de 1 a 6.
- Gravidade nível 6
Falhas fundamentais de design criptográfico, que geralmente podem ser exploradas. - Gravidade nível 5
Execução remota de código em servidores principais do MEGA, como interface de programação de aplicativos, banco de dados e clusters raiz, ou grandes infrações de controle de acesso. - Gravidade nível 4
Falhas de design criptográfico que podem ser exploradas somente após comprometer a infraestrutura do servidor, ao vivo ou post-mortem. - Gravidade nível 3
Execução remota de código geralmente explorável em navegadores (script entre sites). - Gravidade nível 2
Cross-site scripting que pode ser explorado somente depois de comprometer o cluster de servidor da API ou de um ataque man-in-the-middle, por exemplo, emitindo um certificado TLS/SSL falso, além de manipulação de DNS/BGP. - Gravidade nível 1
Todos os cenários de vulnerabilidade de baixo impacto ou puramente teóricos.
Quanto eu vou receber como recompensa?
Oferecemos recompensas de até €10.000 por vulnerabilidade, dependendo da complexidade e do potencial de impacto da mesma.
Informes de bugs e vulnerabilidades de alta qualidade bem estruturados e documentados com uma prova de conceito serão recompensados com o máximo de cada nível de gravidade.
Quem pode receber uma recompensa?
A primeira pessoa a informar uma vulnerabilidade que possa ser reproduzida e verificada pelo MEGA receberá uma recompensa.
Quem decide se um informe de vulnerabilidade é válido ou não?
A decisão sobre se o seu informe se qualifica e quanto você receberá fica a nosso critério. Embora sejamos justos e generosos, ao enviar um informe de bug, você concorda e aceita que a nossa decisão é definitiva.
Quanto tempo você demoram para responder sobre uma vulnerabilidade que eu informei?
O nosso objetivo é dar retorno aos informes alguns dias após recebê-los. Se você não tiver recebido uma resposta neste prazo, pode ser que o seu informe seja incorreto ou não inclua detalhes suficientes para ser estudado de forma adequada. Envie-nos um email se tiver certeza de que seu informe está completo e é correto.
Política de divulgação responsável
Por favor, siga a política de divulgação responsável padrão do setor, com um período de 90 dias a partir da verificação e do reconhecimento da vulnerabilidade relatada, para nos dar tempo para testar e implantar as correções necessárias.