Програма повідомлення про помилки



Умови програми

Будь ласка, зверніть увагу на те, що ваша участь в програмі є добровільною і відповідає умовам, викладеним на цій сторінці. Повідомляючи Paysera про вразливість веб-сайту або продукту, ви, тим самим, підтверджуєте, що ознайомилися і згодні з умовами цієї Програми.
Умови даної програми доповнюють умови будь-якого іншого договору, який Ви уклали з Paysera. При виникненні невідповідностей між умовами договорів з Paysera і умовами цієї Програми, положення Програми будуть переважати, однак виключно щодо Програми повідомлення про помилки.

Інструкції по повідомленню про проблеми безпеки

Якщо ви вважаєте, що виявили вразливість безпеки в Paysera, повідомте про це нам по ел. пошті [email protected]. Просимо вас вказати детальні інструкції по відтворенню помилки, а також короткий опис впливу. Ми заохочуємо відповідальне розкриття інформації (як описано нижче) і обіцяємо своєчасно розслідувати всі повідомлення, а також усунути будь-які проблеми якомога швидше.

Послуги, які підпадають під умови програми

Будь-які служби Paysera, які обробляють конфіденційні дані користувачів, підпадають під умови Програми. Вони практично повністю охоплють вміст наступних доменів: *.paysera.com

Політика відповідального розкриття інформації



Безпека засобів, даних і повідомлень користувачів має першорядне значення для Paysera. З метою заохочення відповідального розкриття інформації, ми не будемо ініціювати судові позови проти дослідників, які вказують проблему, якщо вони дотримуються правил відповідального розкриття інформації. Правила включають в себе, але не обмежуються, наступними принципами:

  • Отримувати доступ, переглядати або змінювати тільки власні клієнтські дані.
  • Не здійснювати атаки, які можуть завдати шкоди надійності або цілісності наших послуг або даних.
  • Уникати методів сканування, які можуть викликати погіршення обслуговування інших клієнтів (DoS-атаки, поширення спаму).
  • Зберігати відомості про уразливість в таємниці до тих пір, поки Paysera не буде проінформована і проблема не буде усунена.
  • Не робити спроби отримати доступ до облікового запису або даним іншого користувача.

При аналізі вразливостей на сторінках Paysera, забороняється використовувати методи, які можуть привести до:

  • Збоїв в системі Paysera.
  • Отриманню доступу, збереження, розповсюдження або знищення даних Paysera або клієнтів вами або іншими третіми особами.
  • Впливу на клієнтів Paysera, наприклад, порушення роботи системи, соціальна інженерія або спам.

Ми можемо обмежити доступ до вашого профілю, заблокувати вашу IP-адресу або вжити інших правових заходів, якщо ви не будете дотримуватися цих принципів.

Просимо вас бути відкритими для спільної роботи з розробниками Paysera над відтворенням, діагностикою та виправленням помилок, а також, в разі необхідності, надати додаткову інформацію про помилку. Принципи, якими ми керуємося при визначенні обгрунтованості повідомлень і розмір винагороди, викладені нижче.

#

Правомірність



#
Учасник Програми повідомлення про помилки не може:
  • переслідуватися за порушення державного або місцевого законодавства або нормативних актів;
  • бути близьким родичем співробітника Paysera, її дочірніх компаній або філій.
  • бути молодше 14 років. Якщо ви досягли 14 років, але вважаєтесь неповнолітнім у своїй країні проживання, для участі в програмі вам необхідно отримати дозвіл батьків або опікунів;
Якщо Paysera стане відомо, що ви не відповідаєте перерахованим вище критеріям, ви будете дискваліфіковані з Програми повідомлення про помилки і втратите право на отримання винагороди.

Розмір винагороди



Повідомлення про більш серйозні помилки будуть винагороджуватися в більшій мірі. Будь-яка помилка, яка може стати причиною фінансових втрат або витоку даних, вважається досить серйозною.
Вразливими, за повідомлення про які виплачується менша винагорода, вважається ті, які не призводять до одного або кількох із цих наслідків:
  • часкова/повна втрата коштів;
  • витік інформація про користувача;
  • втрата точності при обміні даними.

Щоб отримати винагороду:
  • помилка безпеки повинна бути оригінальною і раніше не поданою;
  • помилка безпеки може стати причиною ескалації привілеїв або витоку інформації, і її можна відтворити віддалено.
  • Якщо дві або більше людини повідомляють про помилку разом, винагорода ділиться між ними порівну.

Кілька прикладів того, як отримати більш високу винагороду:
  • Дослідник може продемонструвати нові класи атак або методи обходу функцій безпеки. У разі, якщо існуюча вразливість може бути продемонстрована як придатна для використання в додатковому дослідженні, за ту ж помилку може бути призначена бонусна виплата
  • Дослідження також можуть виявити надзвичайно серйозні, складні або цікаві проблемні області, про які раніше не було відомо.

Обсяг винагород буде визначатися Paysera на власний розсуд. Ні в якому разі Paysera не зобов'язана виплачувати винагороду за яке-небудь повідомлення, не пов'язане з Програмою повідомлення про помилки. Винагорода за повідомлення про помилку може бути виплачена в євро тільки на ідентифікований рахунок Paysera. За бажанням дослідника, винагороду може бути направлено на підтримку організацій Грінпіс, ​​Червоний Хрест або Карітас. Переказ винагороди в криптовалюті або в інші платіжні системи, не зазначені на даній сторінці, неможливий.
При визначенні розмірів виплат, Paysera керується рівнем ризиків і впливів, пов'язаних з уразливістю.

#

Приклади вразливостей



Приклади кваліфікацій вразливостей
Paysera залишає за собою право вирішувати, чи дотриманий мінімальний поріг кваліфікації серйозності, і чи було повідомлено про помилку раніше.
  • Обхід аутентифікації або ескалація привілеїв.
  • Клікджекінг (Clickjacking).
  • Міжсайтовий скриптинг (XSS).
  • Підробка відсилання на міжсайтовий запит (CSRF / XSRF).
  • Скрипти змішаного контенту.
  • Виконання коду на стороні сервера.
  • Порушення призначених для користувача даних.
  • Віддалене виконання коду.
Приклади некваліфікованих вразливостей
Повідомлення про наступні вразливості будуть оцінені, але не призведуть до систематичних виплат від Paysera.
  • Відмова в обслуговуванні (DoS) або проблеми, пов'язані з обмеженням швидкості передачі даних.
  • Можливості відправки шкідливих посилань людям, яких ви знаєте.
  • Помилки безпеки на сторонніх веб-сайтах, які інтегруються з API Paysera.
  • Уразливості, пов'язані з стороннім програмним забезпеченням (наприклад, Java, плагінами, розширеннями) або веб-сайтом, якщо вони не призводять до уразливості на веб-сайті Paysera.
  • Спам (включаючи проблеми, пов'язані з SPF / DKIM / DMARC).
  • Питання використання, автозаповнення форм.
  • Небезпечні настройки в файлах cookie.
  • Уразливості кеш браузера.
  • Уразливості (включаючи XSS), які вимагають від потенційної жертви установки нестандартного програмного забезпечення або вжиття інших малоймовірних активних дій, щоб потрапити під вплив.
  • Нетехнічні атаки, такі як соціальна інженерія, фішинг або фізичні атаки проти наших співробітників, користувачів або інфраструктури.
  • Уразливості (включаючи XSS), які можуть впливати тільки на застарілі версії браузерів / плагінів.
  • Self-XSS (міжсайтовий скриптинг).
  • CSRF CSRF для несуттєвих дій (вихід із системи тощо.).
  • Клікджекінг-атаки без документованої серії кліків, які створюють вразливість.
  • Впровадження контенту, наприклад, відбитого тексту або міток HTML.
  • Відсутність заголовків HTTP, за винятком випадків, коли їх відсутність не дозволяє пом'якшити існуючу атаку.
  • Обхід аутентифікації, що вимагає доступу до програмного забезпечення або обладнання.
  • Уразливості, що вимагають доступу до паролів, токенів або локальної системи (наприклад, фіксація сеансу).
  • Передбачувані уразливості, засновані тільки на номерах версій.
  • Помилки, які потребують надзвичайно малоймовірних дій з боку користувача.
  • Розкриття суспільної інформації, а також інформації, яка не має великого значення.
  • Скриптинг або інша автоматизація і грубе форсування передбачуваної функціональності.
  • Запити, що порушують політику однакового походження (same-origin policy) без конкретних сценаріїв атаки (наприклад, при використанні CORS, коли cookie-файли не використовуються при аутентифікації або не потрапляють разом із запитами).

Необхідна інформація



#
У будь-яких повідомленнях просимо вказати:
  • Детальний опис уразливості, включаючи можливе використання і його наслідки.
  • Кожний крок, необхідний для відтворення уразливості.
  • URL-адреси / додатки, порушені в дослідженні (навіть якщо ви також надали нам фрагмент коду / відео).
  • IP-адреси, які використовувалися при дослідженні.
  • Номер ID, використаний для POC.
  • Всі файли, які ви намагалися завантажити.
  • Повний PoC для свого повідомлення.
  • Журнали атак.

Недотримання будь-якого з вищевказаних пунктів може затримати або поставити під загрозу виплату винагороди.
Повідомте нам про уразливість по електронній пошті [email protected].


Ми не маємо права видавати винагороди особам, які перебувають у списках санкцій або є громадянами санкційних країн (наприклад, Куба, Іран, Північна Корея, Судан, Сирія). Ви несете відповідальність за сплату податків у залежності від країни проживання та громадянства. Залежно від вашого місцевого законодавства, можливі додаткові обмеження на вашу участь у Програмі.

Це не конкурс, а експериментальна і дискреційна програма винагороди за повідомлення про помилки. Ми залишаємо за собою право завершити Програму в будь-який час.

Поширені запитання



Що робити, якщо я виявив уразливість, але не знаю, як її використати?
Ми вважаємо, що перевірка уразливості є дуже важливим кроком у дослідженні уразливості, і очікуємо в повідомленні можливого сценарію атаки, щоб ви могли претендувати на винагороду. Сума винагороди визначається виходячи з максимального впливу уразливості, проте комісія готова переглянути суму винагороди на основі нової інформації (наприклад, ланцюжки помилок або переглянутого сценарію атаки).
Як я можу продемонструвати серйозність помилки, якщо я не маю права порушувати правила?
Будь ласка, надішліть свій звіт, як тільки ви виявите потенційну проблему безпеки. Комісія визначить максимальний вплив помилки і призначить відповідну винагороду. Ми регулярно виплачуємо вищі винагороди за добре написані і корисні матеріали, в яких дослідник не помітив або не зміг повністю оцінити впливу конкретної помилки.