Programul Bug Bounty
Programul Bug Bounty
Termenii Programului
Te rugăm să reții că participarea ta la Programul Bug Bounty este voluntară și respectă termenii și condițiile stabilite în această pagină. Prin trimiterea unei vulnerabilităţi a unui site sau a unui produs Paysera, confirmi că ai citit și ai fost de acord cu acestea Termenii Programului.Acești Termeni ai Programului completează termenii oricărui alt Acord pe care l-aţi încheiat cu Paysera. Dacă există vreo neconcordanță între termenii Acordurilor Paysera și acești Termeni ai Programului, acești Termeni ai Programului vor prima, dar numai în ceea ce privește Programul Bug Bounty.
Instrucțiuni de raportare a problemelor de securitate
Dacă crezi că ai găsit o vulnerabilitate de securitate în Paysera, te rugăm să ne raportezi prin e-mail la [email protected]. Te rugăm să incluzi pași detaliați pentru a reproduce problema și o scurtă descriere a impactului. Încurajăm divulgarea responsabilă (așa cum este descrisă mai jos) și promitem să investigăm în timp util toate rapoartele legitime și să remediem orice problemă cât mai curând posibil.
Servicii din domeniul de aplicare
Orice serviciu Paysera care gestionează date de utilizator relativ sensibile este destinat să fie în domeniul de aplicare. Aceasta include tot conținutul din următoarele domenii:*.paysera.com
Politica de Dezvăluire responsabilă
Securitatea fondurilor, datelor și comunicațiilor utilizatorilor este cea mai mare prioritate pentru Paysera. Pentru a încuraja divulgarea responsabilă, nu vom urmări acțiuni legale împotriva cercetătorilor care subliniază problema, cu condiția să respecte principiile de divulgare responsabilă care includ, dar nu se limitează la:
- Acces, dezvăluire sau modificare a datelor propriilor clienților.
- Nu efectuezi niciun atac care ar putea dăuna fiabilității sau integrității serviciilor sau datelor noastre.
- Evită tehnicile de scanare care pot cauza degradarea serviciului altor clienți. (DoS, spam).
- Păstrează mereu detalii despre vulnerabilități, până când Paysera a fost notificată și rezolvă problema.
- Nu încerca să obții acces la contul sau datele altui utilizator.
În cercetarea vulnerabilităților pe site-ul web al Paysera, nu trebuie să fii implicat în acţiuni din care:
- Rezultă degradarea sistemelor Paysera.
- Rezultă (în tine, sau orice terță parte) accesarea, stocarea, partajarea sau distrugerea datelor de la Paysera sau de la Clienți.
- Activități care pot afecta Clienții Paysera, cum ar fi refuzul serviciilor, ingineria socială sau spamul.
Putem să îţi suspendăm contul și să interzicem IP-ul tău, dacă nu respecți aceste principii.
Îţi solicităm să fii la dispoziție pentru a urmări şi a îţi oferi informații suplimentare despre acest bug și te invităm să lucrezi împreună cu dezvoltatorii Paysera pentru reproducerea, diagnosticarea și remedierea bug-ului. Utilizăm următoarele linii directoare pentru a determina eligibilitatea cererilor și valoarea recompenselor.
- Încalci orice lege sau reglementare națională, de stat sau locală.
- Fii un membru apropiat de familie al unei persoane angajate de Paysera, filialele sau filialele sale.
- Ai mai puțin de 14 ani. Dacă ai cel puțin 14 ani, dar eşti considerat minor în locul de reședință, trebuie să obții o permisiune semnată de părinții tăi sau de tutori legali înainte de a participa la program.
Valoarea recompensei
În general, vulnerabilitățile care pot fi recompensate mai puțin sunt cele care nu provoacă unul sau mai multe din următoarele rezultate:
- Pierderea parțială / completă a fondurilor.
- Scurgerea de informaţii ale utilizatorului.
- Pierderea acurateței datelor de schimb.
Pentru a primi recompensă:
- Bug-ul de securitate trebuie să fie original și nedeclarat anterior.
- Problema de securitate trebuie să fie o exploatare la distanță, cauza unei escaladări a privilegiilor sau o scurgere de informații.
Dacă două sau mai multe persoane raportează bug-ul împreună, recompensa va fi împărțită între ele.
Iată câteva exemple de obținere a unei recompense mai mari:
- Cercetătorul poate demonstra noi clase de atacuri sau tehnici de ocolire a caracteristicilor de securitate. Sau, dacă o vulnerabilitate existentă poate fi demonstrată a fi exploatabilă prin cercetări suplimentare efectuate de reporter, se poate obține o compensație suplimentară pentru același bug.
- Cercetarea ar putea, de asemenea, să descopere zone extrem de grave, complexe sau interesante care au fost anterior nedorite sau necunoscute.
Plățile de recompense, dacă există, vor fi stabilite de Paysera, la discreția exclusivă a Paysera. În nici un caz, Paysera nu va fi obligata să vă plătească o recompensă pentru orice notificare. Toate plățile de recompense pot fi efectuate numai în Euro într-un cont Paysera identificat. Recompensa poate fi, de asemenea, transferată către organizațiile Greenpeace, Crucea Roșie sau de caritate.
Paysera nu plătește bonificații în criptocuritate sau în alte sisteme de plată, care nu sunt menționate pe această pagină.
La determinarea valorii plății, Paysera va lua în considerare nivelul de risc și impactul vulnerabilității.
Exemple de Vulnerabilități
Paysera își rezervă dreptul de a decide dacă pragul de calificare minimă este îndeplinit și dacă a fost deja raportat.
- Autentificare bypass sau escaladarea privilegiilor.
- Clickjacking.
- Scripting pe site-uri (XSS).
- Solicitarea de cereri cross-site (CSRF/XSRF).
- Scripturi cu conținut mixt.
- Execuția codului de la server.
- Încălcarea datelor despre utilizatori.
- Executarea codului la distanță.
Raportarea următoarelor vulnerabilități este apreciată, însă nu va duce la recompensarea sistematică de la Paysera.
- Vulnerabilități ale serviciului (DoS).
- Posibilități de trimitere de link-uri rău intenționate către persoane pe care le cunoașteți.
- Bug-uride securitate pe site-uri web ale unor terțe părți care se integrează cu API-ul Paysera.
- Vulnerabilitățile legate de software-ul terțe părti (de exemplu, Java, pluginuri, extensii) sau site-ul web, cu excepția cazului în care acestea duc la vulnerabilitate pe site-ul Paysera.
- Spam (inclusiv aspecte legate de SPF/DKIM/DMARC).
- Probleme de utilizare, forme de completare automată.
- Setări nesigure în cookie-urile nesensibile.
- Vulnerabilități Cache.
- Vulnerabilități (inclusiv XSS) care necesită o potențială victimă să instaleze programe non-standard sau să urmeze pași foarte puțin probabili pentru a deveni susceptibili.
- Atacurile non-tehnice precum ingineria socială, phishingul sau atacurile fizice împotriva angajaților, utilizatorilor sau infrastructurii noastre.
- Vulnerabilități (inclusiv XSS) care afectează numai browserul / pluginsul vechi.
- Self-XSS.
- CSRF pentru acțiuni nesemnificative (logout, etc.).
- Atacurile clicjacking fără o serie de clickuri documentate care produc o vulnerabilitate.
- Injecția de conținut, cum ar fi textul reflectat sau etichetele HTML.
- Lipsesc anteturi HTTP, cu excepția cazurilor în care absența lor nu atenuează un atac existent.
- Scurtaturi de autentificare care necesită acces la tokenuri software / hardware.
- Vulnerabilitățile care necesită acces la parole, tokenuri sau sistemul local (de exemplu, fixarea sesiunii).
- Vulnerabilități presupuse numai pe baza numerelor de versiuni.
- Bug-uri care necesită o interacțiune extrem de puțin probabilă a utilizatorului.
- Dezvăluirea informațiilor și informațiilor publice care nu prezintă risc semnificativ.
- Scripting sau alte automatizări și forțarea bruta a funcționalității dorite.
- Solicitarea încălcarii politicii de același tip, fără scenariu de atac concret (de exemplu, atunci când se utilizează CORS, iar cookie-urile nu sunt utilizate în efectuarea autentificării sau nu sunt trimise cu cereri).
Informația necesară
- Descrierea completă a vulnerabilității raportate, inclusiv exploatabilitatea și impactul.
- Documentați toți pașii necesari pentru a reproduce exploatarea vulnerabilității.
- Adresa URL (e) / aplicația (e) afectată în transmitere (chiar dacă ne-ați furnizat și un fragment de cod / un videoclip).
- IP-urile care au fost utilizate în timpul testării.
- Includeți întotdeauna ID-ul de utilizator care este utilizat pentru POC.
- Întotdeauna includeți toate fișierele pe care ați încercat să le încărcați.
- Furnizați documentația completă pentru trimiterea dvs.
- Salvați toate jurnalele de atac și atașați-le la trimitere.
Neefectuarea oricăror elemente de mai sus poate întârzia sau pune în pericol plata recompensei.
Raportați-ne prin e-mail [email protected].
Aceasta nu este o competiție, ci mai degrabă un program experimental și discreționar de recompense. Trebuie să înțelegi că putem anula programul în orice moment.
Întrebări frecvente
Ne așteptăm ca rapoartele de vulnerabilitate trimise la noi să aibă un scenariu de atac valabil pentru a se califica pentru o recompensă și considerăm că este un pas critic atunci când facem cercetări privind vulnerabilitatea. Valorile recompenselor sunt stabilite pe baza impactului maxim al vulnerabilității și grupul este dispus să reconsidere o sumă de recompensă bazată pe informații noi (cum ar fi un lanț de bug-uri sau un scenariu de atac revizuit).
Te rugăm să trimți riaportul imediat ce ai descoperit o posibilă problemă de securitate. Panoul va lua în considerare impactul maxim și va alege recompensa în consecință. Noi plătim în mod obișnuit recompense mai mari pentru prezentări bine scrise și utile, în cazul în care reporterul nu a observat sau nu a putut analiza pe deplin impactul unui defect particular.