Програма за възнаграждения за откриване на бъгове



Условия на програмата

Моля, имайте предвид, че Вашето участие в програмата за откриване на бъгове е доброволно и подлежи на условията, посочени на тази страница. Изпращайки информация за уязвимост на сайт или продукт към Paysera, Вие потвърждавате, че сте прочели и приели тези условия на програмата.
Условията на програмата допълват условията на всяко друго споразумение, което сте сключили с Paysera. Ако има несъответствие между условията на споразуменията с Paysera и настоящите условия на програмата, условията на програмата ще имат превес, но само по отношение на програмата за откриване на бъгове.

Насоки за докладване на проблеми със сигурността

Ако считате, че сте открили уязвимост за сигурността в Paysera, моля да ни уведомите на електронна поща: [email protected]. Моля, включете подробни стъпки за възпроизвеждане на бъговете и кратко описание на въздействието им. Насърчаваме отговорното разкриване на информация (както е описано по-долу) и поемаме ангажимент да прегледаме своевременно всички легитимни доклади и да разрешим всички проблеми възможно най-скоро.

Обхват на услугите

Всяка услуга на Paysera, която обработва чувствителни потребителски данни, е включена в обхвата. Това включва почти цялото съдържание в следните домейни: *.paysera.com

Отговорна политика за оповестяване



Сигурността на клиентските средства, данни и комуникации е от първостепенно значение за Paysera. За да насърчи отговорното разкриване на информация, Paysera няма да предприема съдебни мерки срещу лицата, които посочват проблем, при условие, че тези лица спазват правилата за отговорно разкриване на информацията. Правилата включват, но не се ограничават само до следните принципи:

  • Осъществявайте достъп до, преглеждайте или променяйте само своите клиентски данни.
  • Не извършвайте атаки, които могат да увредят надеждността или цялостта на нашите услуги или данни.
  • Избягвайте методи за сканиране, които могат да доведат до лошо клиентско обслужване на други клиенти (DoS атаки, спам).
  • Винаги пазете в тайна и не разпространявайте чувствителната информация, докато Paysera не бъде уведомена и проблемът не бъде разрешен.
  • Не се опитвайте да придобиете достъп до сметката или данните на друг потребител.

Когато анализирате бъгове на страниците на "Paysera", не можете да използвате методи, които могат да доведат до:

  • Влошаване на системите "Paysera".
  • Получаване на достъп, съхраняване, разпространение или унищожаване на данни на клиенти на Paysera от Вас или други трети страни.
  • Влияние върху клиентите на Paysera, като например отказ от услуга, социален инжинеринг или спам.

Може да закрием акаунта Ви и да блокираме вашия IP адрес, ако не спазвате тези указания

Молим Ви да сте на разположение с цел проследяване и предоставяне на допълнителна информация за бъговете, както и Ви приканваме да работите заедно с разработчиците на Paysera за възпроизвеждането, диагностицирането и отстраняването на бъговете. Принципите, от които се ръководим, за да определим валидността на съобщенията и размера на възнагражденията, са изложени по-долу.

#

Законосъобразност



#
За да имате право да участвате в програмата, Вие не трябва:
  • Да нарушавате държавни или местни закони или наредби.
  • Да сте близък роднина на служител на Paysera, нейните дъщерни дружества или филиали.
  • Да сте под 14-годишна възраст. Ако сте на възраст най-малко 14 години, но се считате за непълнолетен в държавата Ви по местоживеене, преди да участвате в програмата трябва да получите разрешение, подписано от Вашите родители или настойници.
Ако Paysera узнае, че не отговаряте на горните критерии, ще бъдете дисквалифицирани от Програмата за докладване на грешки и ще загубите правото си да получите възнаграждение.

Възнаграждение



Съобщенията за по-сериозни грешки ще бъдат признати и оценени с по-голямо възнаграждение. Всяка грешка, която може да причини финансови загуби или изтичане на данни, се счита за сериозна.
Бъговете, за които се плащат по-ниски възнаграждения, са тези, които не водят до една или повече от тези последици:
  • Частична/пълна загуба на средства.
  • Изтичане на информация за потребители.
  • Непълно/неточно прехвърляне на информация при обмен на данни.

За да получите възнаграждение:
  • Откритият и изпратен за коригиране бъг трябва да е уникален и да не е бил докладван до този момент.
  • Бъгът в сигурността може да доведе до неправомерно облагодетелстване или изтичане на информация и трябва да бъде възпроизведен от разстояние.

Ако двама или повече души съобщават за грешка заедно, възнаграждението се разпределя равномерно между тях.
Ето няколко примера за това как да получите по-висока награда:
  • Изследователят може да демонстрира нови видове атаки или методи за заобикаляне на функциите за сигурност. В случай, че съществуваща грешка бъде демонстрирана като подходяща за използване в допълнително проучване, може да се отпусне бонус за същата грешка.
  • Проучванията могат да идентифицират и изключително сериозни, сложни или интересни проблемни области, които преди това не са били известни.

Размерът на възнаграждението ще бъде определен от "Paysera" по свое усмотрение. В никакъв случай Paysera не е задължена да изплаща възнаграждение за всяко съобщение, което е свързано с Програмата за докладване на грешки. Всички плащания ще се извършват само в евро по идентифицирана Paysera сметка. Възнаграждението може да бъде наредено към Greenpeace, Червения кръст или "Каритас" организации. Paysera не изплаща възнаграждения в криптовалути или други платежни системи, които не са посочени на тази страница.
"Paysera" определя размера на плащанията въз основа на рисковете и въздействията, свързани с грешката.

#

Примери за уязвимост



Примери за грешки, които трябва да бъдат квалифицирани
"Paysera" си запазва правото да реши дали минималният праг за квалификация на сериозността на бъга е изпълнен и дали грешката е била съобщена по-рано.
  • Заобикаляне на автентичността или повишаване на привилегиите.
  • Clickjacking.
  • Скриптове на различни места (XSS).
  • Фалшифициране на изпращането на заявка в рамките на сайта (CSRF/XSRF).
  • Скриптове със смесено съдържание.
  • Изпълнение на кода на сървъра.
  • Нарушаване на потребителски данни.
  • Изпълнение на отдалечен код.
Примери за невалидни грешки
Съобщения за следните бъгове ще бъдат оценени, но няма да доведат до системни плащания от "Paysera".
  • Бъг в отказ от услуга (DoS).
  • Възможност за изпращане на злонамерени връзки към хора, които познавате.
  • Грешки в сигурността на уебсайтове на трети страни, които се интегрират с приложния програмен интерфейс (API) на Paysera.
  • Бъгове, свързани със софтуер на трети страни (например Java, плъгини, разширения) или уебсайт, ако те не водят до уязвимост на уебсайта на Paysera.
  • Спам (включително въпроси, свързани с SPF/DKIM/DMARC).
  • Въпроси, свързани с начина на ползване, попълване на формуляри с автоматично довършване.
  • Несигурни настройки в "бисквитките".
  • Бъгове в кеша на браузъра.
  • Уязвими места (включително XSS), които изискват инсталиране на нестандартен софтуер или предприемане на други малко вероятни действия, с цел повлияване.
  • Нетехнически атаки, като социално инженерство, фишинг или физически атаки срещу нашите служители, потребители или инфраструктура.
  • Бъгове (включително XSS), които могат да засегнат само по-стари версии на браузърите / плъгините.
  • Self-XSS (кръстосано скриптоване).
  • CSRF за несъществени действия (изход от системата и т.н.).
  • Отвличане на кликове (clickJacking) без документирана поредица от кликвания, които създават бъг.
  • Внедряване на съдържание, като например отразен текст или HTML етикети .
  • Липса на HTTP заглавки, освен ако тяхното отсъствие не позволява смекчаване на съществуваща атака.
  • Заобикаляне на удостоверяване, което изисква достъп до софтуер или хардуер.
  • Бъгове, които изискват достъп до пароли, токени или локална система (например сесия).
  • Предполагаеми бъгове въз основа само на номера на версиите.
  • Грешки, които изискват минимални действия от страна на потребителя.
  • Разкриване на публична информация, както и информация, която не представлява значителен риск.
  • Криптиране или друга автоматизация и грубо принуждаване на планирана функционалност.
  • Искания, които нарушават правилата за един и същ произход без конкретен сценарий на атака (например при ползване на CORS, когато "бисквитките" не се използват при извършване на удостоверяване или не са изпратени с искания).

Необходима информация



#
Във всички съобщения, моля, посочете:
  • Пълно описание на бъга, включително възможната употреба и последиците от нея.
  • Всяка стъпка, необходима за възпроизвеждане на бъга.
  • URL адреси / приложения, засегнати от изследването (дори ако ни предоставите и кодов фрагмент / видеоклип).
  • IP адреси, използвани в проучването .
  • Идентификационен номер, използван за POC.
  • Всички файлове, които сте опитали да изтеглите.
  • Пълна PoC за вашето съобщение.
  • Моля, запазете всички дневници за атаки и ги прикачете към изпращането.

Неспазването на някоя от горните точки може да забави или да застраши изплащането на възнаграждение.
Уведомете ни за грешката чрез имейл на: [email protected].


Нямаме право да предоставяме възнаграждения на лица, които са включени в списъци със санкции или пребивават в държави, включени в списъци със санкции (например Куба, Иран, Северна Корея, Судан, Сирия). Вие носите отговорност за плащането на данъци, в зависимост от държавата на пребиваване и гражданството. В зависимост от местното законодателство е възможно да има допълнителни ограничения за участието Ви в програмата.

Това не е конкурс, а експериментална програма за възнаграждение при оповестяване за грешки. Запазваме си правото да прекратим Програмата по всяко време.

Често задавани въпроси



Открих уязвимост, но не знам как да я използвам?
Вярваме, че тестването на бъгове е много важна стъпка в изучаването на грешката и очакваме възможен сценарий на атаката в съобщението, така че да може да получите възнаграждение. Размерът на възнаграждението се определя въз основа на максималното въздействие на грешката, но комисията е готова да преразгледа размера на наградата въз основа на нова информация (например верига от грешки или ревизиран сценарий на грешката).
Как мога да докажа сериозността на грешката, ако нямам право да наруша правилата?
Моля, изпратете сигнала си веднага щом откриете потенциален проблем със сигурността. Комисията ще определи максималното въздействие на грешката и ще определи подходящото възнаграждение. Често плащаме по-високи награди за добре написани и полезни материали, в които изследователят не е забелязал или не е могъл напълно да оцени въздействието на конкретна грешка.