Informavimas apie saugumo spragas



Programos sąlygos

Dalyvavimas Saugumo spragų pranešimo programoje yra savanoriškas ir reikalauja laikytis šiame puslapyje nurodytų sąlygų. Pateikdami informaciją apie Paysera pažeidžiamumą, Jūs pripažįstate, kad perskaitėte ir sutinkate su šios programos sąlygomis.
Šios programos sąlygos papildo bet kurią kitą sutartį, kurią Jūs esate sudarę su Paysera. Jei tarp Paysera sutarčių sąlygų ir šios programos sąlygų atsirastų nenuoseklumų, šios programos sąlygos vyraus, bet tik Saugumo spragų pranešimo programos atžvilgiu.

Pranešimo apie saugumo spragas nurodymai

Jei manote, kad radote Paysera saugumo spragą, prašome apie tai pranešti mums el. paštu [email protected]. Nurodykite išsamius veiksmus, kaip galima atkurti klaidą ir trumpai apibūdinkite klaidos poveikį. Mes skatiname atsakingą atskleidimą (kaip aprašyta toliau) ir pažadame laiku išnagrinėti visus teisėtus pranešimus, bei kaip įmanoma greičiau išspręsti bet kokias problemas.

Taikymo sritis

Saugumo spragų tyrimo objektu gali būti bet kuri Paysera paslauga, kuri saugo slaptus vartotojų duomenis. Tai apima beveik visą informaciją pateiktą *.paysera.com

Atsakingo atskleidimo politika



Paysera rūpinasi vartotojų lėšų, duomenų ir ryšių saugumu, tad siekiant paskatinti atsakingą saugumo spragų atskleidimą, mes nesiimame teisinių veiksmų prieš asmenis, kurie atskleidžia spragas pagal šiame puslapyje pateiktas sąlygas bei žemiau pateiktus principus:

  • Prieiti, atskleisti ar keisti tik savo paties kliento duomenis.
  • Draudžiama vykdyti bet kokias atakas, galinčias pakenkti mūsų paslaugų ar duomenų patikimumui ar vientisumui.
  • Vengti nuskaitymo būdų, kurie gali pabloginti kitų klientų aptarnavimą (DoS atakos, brukalo siuntimas).
  • Visais atvejais laikykite paslaptyje informaciją apie sistemos pažeidžiamumą tol, kol apie tai nebus pranešta Paysera ir problema nebus išspręsta.
  • Nebandykite gauti prieigos prie kito naudotojo paskyros ar duomenų.

Tiriant Paysera puslapių pažeidžiamumą, griežtai draudžiama:

  • Vykdyti veiksmus, galinčius sutrikdyti ar paveikti Paysera sistemų veikimą.
  • Bandyti neteisėtai prieiti, kopijuoti, platinti ar sunaikinti Paysera ar jos klientų duomenis, tiek savarankiškai, tiek per trečiuosius asmenis.
  • Daryti neigiamą poveikį Paysera klientams, įskaitant paslaugų teikimo trikdymą, socialinės inžinerijos metodus ar nepageidaujamos informacijos siuntimą.

Jeigu nesilaikysite šių principų, Paysera gali apriboti Jūsų sąskaitą, blokuoti IP adresą ir imtis kitų teisinių veiksmų.

Kviečiame dirbti kartu su Paysera inžinieriais atkuriant, nustatant ir pašalinant spragas. Norint pretenduoti į atlygį, Jūsų pranešimas turi būti pripažintas pagrįstu. Nustatant pagrįstumą ir atlygį vadovaujamės žemiau pateiktomis gairėmis.

#

Tinkamumas



#
Saugumo spragų pranešimo programoje negali dalyvauti asmuo, kuris:
  • yra pažeidęs bet kokius valstybės ar vietos įstatymus;
  • yra Paysera, jos dukterinių įmonių ar filialų darbuotojo artimasis šeimos narys;
  • nėra sulaukęs 14 metų amžiaus. Jei esate vyresnis (-ė) nei 14 metų, tačiau pagal Jūsų gyvenamosios vietos įstatymus vis dar esate laikomas (-a) nepilnamečiu (-e), privalote gauti tėvų ar globėjų sutikimą prieš prisijungdami prie programos.
Paysera, nustačiusi, kad neatitinkate bet kurio iš aukščiau nurodytų reikalavimų, turi teisę nedelsiant nutraukti Jūsų dalyvavimą Saugumo spragų pranešimo programoje ir atšaukti bet kokį atlygį už praneštą saugumo spragą.

Atlygis ir jo dydis



Atlygis skiriamas atsižvelgiant į saugumo spragos rimtumą. Kuo reikšmingesnė saugumo spraga, tuo didesnė atlygio suma skiriama už jos atskleidimą. Ypač svarbiomis laikomos spragos, galinčios sukelti finansinius nuostolius ar pažeisti duomenų saugumą.
Mažesnis atlygis skiriamas už spragas, kurios nesukelia šių pasekmių:
  • finansinių lėšų praradimas (dalinis arba visiškas);
  • naudotojo duomenų nutekėjimas;
  • duomenų perdavimo vientisumo pažeidimas.

Norint gauti atlygį, saugumo spraga turi atitikti šiuos kriterijus:
  • būti pirmą kartą atskleista ir anksčiau nepranešta;
  • įrodyti nuotolinį sistemos pažeidžiamumą, privilegijų išplėtimo galimybę arba konfidencialios informacijos atskleidimo riziką.

Jei apie tą pačią saugumo spragą vienu metu praneša keli asmenys, atlygis padalijamas tarp jų proporcingai.
Didesnį atlygį galima gauti šiais atvejais:
  • Tyrėjas pademonstruoja naujo tipo atakas ar apsaugos apėjimo metodus, arba pateikia išsamesnę esamos spragos analizę su papildomais išnaudojimo scenarijais.
  • Tyrimas atskleidžia ypač svarbias, kompleksines ar unikalias saugumo problemas, apie kurias anksčiau nebuvo žinoma ar pranešta.

Jei pranešimas atitinka visus programos reikalavimus, galutinį atlygio dydį nustato Paysera savo nuožiūra. Paysera neįsipareigoja mokėti atlygio už pranešimus, nepatenkančius į saugumo spragų programos apimtį. Atlygis mokamas tik eurais į patvirtintą Paysera sąskaitą. Tyrėjo pageidavimu, atlygis gali būti pervestas kaip parama Greenpeace, Raudonojo Kryžiaus ar Caritas organizacijoms. Atsiskaitymai kriptovaliutomis ar per kitas, čia nepaminėtas mokėjimo sistemas, nėra vykdomi.
Nustatydama atlygio dydį, Paysera vertina saugumo spragos keliamą riziką ir galimo poveikio mastą.

#

Pažeidžiamumų pavyzdžiai



Kvalifikuojamų pažeidžiamumų pavyzdžiai
Paysera pasilieka teisę spręsti, ar minimali rimtumo kvalifikacinė riba peržengta, taip pat, ar apie spragą jau buvo pranešta anksčiau.
  • Autentifikacijos apėjimas arba privilegijų eskalacija.
  • „Clickjacking“ (kai naudotojas priverčiamas spragtelėti ant užmaskuotų tinklalapio elementų).
  • „Cross-site scripting (XSS)“ (pažeidžiamumas, kuris leidžia įterpti papildomą programinį kodą į naudotojų peržiūrimą puslapį).
  • Kryžminių tinklalapių užklausų klastojimas (CSRF / XSRF).
  • Mišraus turinio skriptai.
  • Kodo vykdymas serveryje.
  • Vartotojo duomenų pažeidimas.
  • Nuotolinio kodo vykdymas.
Nekvalifikuojamų pažeidžiamumų pavyzdžiai
Pranešimai apie šios pažeidžiamumus bus įvertinti Paysera, bet už juos nebus reguliariai atlyginama:
  • Atsisakymo aptarnauti pažeidžiamumas (DoS) arba problemos, susijusios su normos apribojimu.
  • Galimybė siųsti kenkėjiškas nuorodas žmonėms, kuriuos pažįstate.
  • Trečiųjų šalių saugumo spragos svetainėse, kurios integruojasi su Paysera API.
  • Pažeidimai, susiję su trečiosios šalies programine įranga (pvz., Java, įskiepiai, plėtiniai) ar svetainėmis, išskyrus atvejus, kai jie sukelia pažeidžiamumą Paysera svetainėje.
  • Brukalas (įskaitant atvejus, susijusius su SPF/DKIM/DMARC).
  • Naudojimo problemos, automatiškai užpildomos formos.
  • Nesaugūs slapukų nustatymai.
  • Naršyklės talpyklos pažeidžiamumas.
  • Pažeidžiamumai (įskaitant XSS), kurie reikalauja, kad potenciali auka įsidiegtų nestandartinę programinę įrangą arba imtųsi kitų labai mažai tikėtinų aktyvių veiksmų, kad pati būtų paveikta.
  • Netechniniai išpuoliai, tokie kaip socialinė inžinerija, sukčiavimas ar fiziniai išpuoliai prieš mūsų darbuotojus, naudotojus arba infrastruktūrą.
  • Pažeidimai (įskaitant XSS), kurie turi įtakos tik pasenusioms naršyklėms / įskiepiams.
  • „Self-XSS“ (kai vartotojas atsitiktinai įsidiegia kenkėjišką kodą į savo svetainę).
  • CSRF dėl nereikšmingų veiksmų (atsijungimas ir t. t.).
  • „Clickjacking“ atakos be užregistruotų paspaudimų serijų, kurios sukelia pažeidžiamumą.
  • Turinio įkėlimas, pavyzdžiui, atspindėtas tekstas arba HTML žymės.
  • Nėra HTTP antraščių, išskyrus tuos atvejus, kai dėl jų nebuvimo nepavyksta atremti atakos.
  • Autentifikavimo apėjimai, kurie reikalauja prieigos prie programinės ar techninės įrangos.
  • Pažeidžiamumai, kuriems reikalinga prieiga prie slaptažodžių, žymių ar vietinės sistemos (pvz., sesijos fiksavimas).
  • Numanomi pažeidžiamumai, grindžiami tik versijų numeriais.
  • Spragos, reikalaujančios labai mažai tikėtinų naudotojo veiksmų.
  • Viešos informacijos ir informacijos, kuri nėra labai reikšminga, atskleidimas.
  • Numatytam funkcionalumui skirti programos įrašymo ar kiti priverstiniai veksmai.
  • Užklausos, pažeidžiančios tos pačios kilmės politiką (same-origin policy) be konkrečių atakos scenarijų (pvz., kai naudojama CORS ir autentifikacija neatliekama slapukų pagalba, ar jie nesiunčiami kartu su užklausomis).

Pranešime nurodoma informacija



#
Pateikdami informaciją apie saugumo spragą nurodykite:
  • Išsamų spragos aprašymą, įskaitant išnaudojimo galimybes ir poveikį.
  • Kiekvieną žingsnį, reikalingą spragos išnaudojimo galimybei atkurti.
  • Paveiktus URL adresus, programėles (net jeigu Jūs taip pat pateikėte mums kodo fragmentą, vaizdo įrašą).
  • IP adresus, kurie buvo naudojami atliekant tyrimą.
  • Visada nurodykite naudotojo ID, kuris naudojamas PoC.
  • Visada pridėkite visus failus, kuriuos bandėte įkelti.
  • Pateikite pilną PoC.
  • Prašome išsaugoti visus atakų žurnalus ir pridėti juos prie pranešimo.

Nepridėjus kurio nors iš minėtų elementų, atlygio išmokėjimas gali būti nepaskirtas arba uždelstas.
Praneškite mums apie spragas elektroniniu paštu [email protected].


Svarbu! Mes negalime suteikti atlygio sankcionuotiems asmenims arba šalių, kurios yra sankcionuojamų sąraše (Kuba, Iranas, Šiaurės Korėja, Sudanas, Sirija), piliečiams. Jūs esate atsakingas (-a) už bet kokius mokesčius, priklausomai nuo jūsų šalies ir pilietybės. Priklausomai nuo vietinių Jūsų šalies įstatymų, gali atsirasti papildomų apribojimų, dėl kurių negalėtumėte dalyvauti programoje.

Tai nėra konkursas, o eksperimentinė ir diskrecinė atlygio programa. Prašome turėti omenyje, kad mes galime nutraukti programą bet kuriuo metu.

Dažniausiai užduodami klausimai



Ką daryti, jeigu aš radau spragą, bet nežinau, kaip ją išnaudoti?
Mes manome, kad spragos tikrinimas yra labai svarbus žingsnis atliekant pažeidžiamumo tyrimą, ir tikimės, kad mums atsiųsti spragų pranešimai turės pagrįstą atakos scenarijų, ir Jūs galėsite pretenduoti į atlygį. Atlygio dydis nustatomas remiantis didžiausiu spragos poveikiu. Komisija pasirengusi persvarstyti atlygio sumą, gavus naują informaciją apie galimą poveikio sunkumą (pvz., klaidų grandinę arba peržiūrėtą atakos scenarijų).
Kaip aš galiu parodyti spragos sunkumą, jei neturiu teisės nesilaikyti taisyklių?
Jeigu pastebėjote potencialią grėsmę saugumui, prašome kuo skubiau mums apie tai pranešti. Komisija įvertins didžiausią galimą poveikį ir nustatys atitinkamą atlygio sumą. Mes reguliariai mokame didesnį atlygį už gerai parašytus ir naudingus pranešimus, kai tyrėjas nepastebėjo arba nepakankamai įvertino tam tikros spragos poveikį.