Drošības kļūdu ziņošanas programma



Programmas noteikumi

Lūdzu, ņemiet vērā, ka Jūsu dalība Drošības kļūdu ziņošanas programmā ir brīvprātīga un ir pakļauta šajā lapā izklāstītajiem noteikumiem un nosacījumiem. Informējot Paysera par vietnes vai produktu neaizsargātību, Jūs apliecināt, ka esat izlasījis un piekrītat šiem Programmas noteikumiem.
Šie Programmas noteikumi papildina jebkuru citu līgumu, kuru esat noslēdzis ar Paysera. Šo Paysera līgumu noteikumi tiks piemēroti, ja Jūs izmantosiet Drošības kļūdu ziņošanas programmu un piedalīsieties tajā. Ja pastāv pretrunas starp Paysera līgumiem un šiem Programmas noteikumiem, šie Programmas noteikumi tiek uzskatīti par primāriem, bet tikai attiecībā uz Drošības kļūdu ziņošanas programmu.

Vadlīnijas ziņošanai par drošības jautājumiem

Ja Jūs domājat, ka esat atradis Paysera drošības ievainojamību, lūdzu, ziņojiet par to mums, nosūtot e-pastu uz adresi [email protected]. Lūdzu, iekļaujiet ziņojumā visus nepieciešamos soļus, kas jāveic, lai atkārtotu kļūdu un īsu aprakstu par to, kāda ir tās ietekme. Mēs atbalstām atbildīgu informācijas izpaušanu (kā norādīts tālāk), un mēs apsolām savlaicīgi izpētīt visus pamatotos ziņojumus un pēc iespējas ātrāk novērst visas kļūdas.

Attiecināmie pakalpojumi

Programma attiecas uz jebkuru Paysera pakalpojumu, kas apstrādā pietiekami sensitīvus lietotāju datus. Tas ietver gandrīz visu saturu šādos domēnos: * .paysera.com

Atbildīga informācijas atklāšanas politika



Lietotāju naudas līdzekļu, datu un saziņas drošība Paysera ir ļoti svarīga. Lai veicinātu atbildīgu informācijas izpaušanu, mēs neuzsāksim tiesvedību pret pētniekiem, kuri norāda uz problēmu, ja tie ievēro atbildīgas informācijas publiskošanas principus, kas ietver (bet ne tikai):

  • Piekļūt, rādīt vai izmainīt tikai savus lietotāja datus.
  • Neveikt nekādas darbības, kas varētu kaitēt mūsu pakalpojumu uzticamībai vai datu integritātei.
  • Izvairīties no skenēšanas paņēmieniem, kas var izraisīt pakalpojuma pieejamības samazināšanos citiem klientiem. (DoS, surogātpasts).
  • Informāciju par neaizsargātību vienmēr saglabāt slepenībā, līdz par to tiek paziņots Paysera un kļūda tiek izlabota.
  • Nemēģināt piekļūt citu lietotāju kontiem vai datiem.
  • Neveikt nekādus uzbrukumus, kas varētu kaitēt mūsu pakalpojumu vai datu uzticamībai un integritātei. DoS/spam uzbrukumi nav atļauti.

Paysera vietņu ievainojamības izpētē Jūs nedrīkstat veikt pārbaudes, kuru rezultātā:

  • Tiek degradēta Paysera sistēma.
  • Jūs vai jebkura trešā persona piekļūst, uzglabā, koplieto vai iznīcina Paysera vai klientu datus.
  • Var tikt ietekmēti Paysera klienti, piemēram, pakalpojuma noraidīšana, sociālā inženierija vai surogātpasts.

Ja neievērojat šos principus, mēs varam bloķēt Jūsu kontu un Jūsu IP adresi.

Mēs lūdzam jums būt gataviem tālākai sadarbībai un sniegt nepieciešamo informāciju par kļūdu un aicinām Jūs strādāt kopā ar Paysera darbiniekiem, lai atdarinātu, diagnosticētu un novērstu kļūdu. Lai varētu pretendēt uz atlīdzību, Jūsu iesniegumam ir jābūt atzītam par atbilstošu no Paysera puses. Lai noteiktu pieprasījumu atbilstību un piedāvātu atlīdzību, mēs izmantojam šādas pamatnostādnes.

#

Atbilstība



#
Lai varētu piedalīties Drošības kļūdu ziņošanas programmā, Jūs nedrīkstat:
  • pārkāpt nacionālos, valsts vai vietējos likumus vai noteikumus;
  • būt Paysera vai tā meitas uzņēmumu darbinieka vai pārstāvja tiešais ģimenes loceklis;
  • Būt jaunāks par 14 gadiem. Ja esat vismaz 14 gadus vecs, bet savā dzīvesvietā tiekat uzskatīts par nepilngadīgu, pirms piedalīties programmā, Jums ir jāsaņem Jūsu vecāku vai likumīgo aizbildņu atļauja.
Ja Paysera atklāj, ka Jūs neatbilstat kādam no iepriekš minētajiem kritērijiem, Paysera Jūs izslēdz no Drošības kļūdu ziņošanas programmas un netiek izmaksāta nekāda veida atlīdzība.

Atlīdzības apjoms



Par nopietnākām kļūdām tiks izmaksāta lielāka atlīdzība. Jebkura kļūda, kura var radīt finansiālus zaudējumus vai datu bojājumus, ir pietiekami nopietna.
Parasti ievainojamības, kas var novest pie zemākas atlīdzības, ir tās, kuras neizraisa vienu vai vairākus no šiem rezultātiem:
  • daļējs/pilnīgs naudas līdzekļu zudums;
  • lietotāju informācijas noplūde;
  • datu apmaiņas precizitātes zudums.

Lai saņemtu atlīdzību:
  • drošības kļūdai jābūt oriģinālai un iepriekš nezināmai;
  • drošības kļūda var kļūt par iemeslu privilēģiju eskalācijai vai informācijas noplūdei un to var izmantot attālināti.

Ja par kļūdu ziņo divas vai vairākas personas kopā, atlīdzība tiks sadalīta starp tām.
Šeit ir daži piemēri, kā saņemt lielāku atlīdzību:
  • pētnieks var demonstrēt jaunas uzbrukumu klases vai metodes, lai apietu drošības elementus. Vai, ja esošo neaizsargātību var pierādīt kā izmantojamu, taču ziņotājam jāveic papildu pētījumi, par to pašu kļūdu var nopelnīt papildu atlīdzību.
  • Pētījumā var atklāt arī ārkārtīgi nopietnas, sarežģītas vai interesantas problēmu jomas, par kurām iepriekš nebija ziņots vai tās nebija zināmas.

Atlīdzības maksājumus, ja tādi būs, Paysera noteiks pēc saviem ieskatiem. Paysera nekādā gadījumā nav jāmaksā Jums par jebkuru ziņojumu. Visi atlīdzības maksājumi tiks veikti tikai eiro valūtā uz apstiprinātu Paysera kontu. Atlīdzība var tik pārskaitīta arī organizācijām Greenpeace, Sarkanais krusts un Caritas. Paysera nepārskaita atlīdzības kriptovalūtā vai uz citām maksājumu sistēmām, kas nav norādītas šajā lapā.
Paysera noteiks atlīdzību apjomu, pamatojoties uz ievainojamības riska pakāpi un ietekmi.

#

Ievainojamību piemēri



Atbilstošu ievainojamību piemēri
Paysera patur tiesības izlemt, vai ir izpildīts minimālais smaguma pakāpes kvalifikācijas slieksnis un vai par to jau ir ticis paziņots.
  • Autentifikācijas apiešana vai privilēģiju eskalācija.
  • Clickjacking.
  • Cross-site skripti (XSS).
  • Cross-site pieprasījumu viltošana (CSRF / XSRF).
  • Jaukta satura skripti.
  • Servera puses koda izpilde.
  • Lietotāja datu pārkāpums.
  • Attālināta koda izpilde.
Neatbilstošu ievainojamību piemēri
Ziņošana par zemāk norādītām ievainojamībām tiks novērtēta, taču tai nesekos sistemātiska Paysera atlīdzību.
  • Pakalpojumu neaizsargātības novēršana (DoS).
  • Iespējas sūtīt ļaunprātīgas saites jums pazīstamiem cilvēkiem.
  • Drošības kļūdas trešo pušu vietnēs, kas tiek integrētas ar Paysera API.
  • Ievainojamība saistībā ar trešās puses programmatūru (piemēram, Java, spraudņiem, paplašinājumiem) vai vietni, ja vien tie nerada ievainojamību vietnē Paysera.
  • Surogātpasts (tostarp jautājumi, kas saistīti ar SPF / DKIM / DMARC).
  • Lietojamības problēmas, formu automātiskā aizpildīšana.
  • Nedroši iestatījumi nesensatīvajos sīkfailos.
  • Browser Cache ievainojamība.
  • Ievainojamība (tostarp XSS), kurās potenciālajam cietušajam ir jāuzstāda nestandarta programmatūra vai citādi jāveic ļoti neparastas darbības, tādējādi padarot sevi par ievainojamiem.
  • Netehniskie uzbrukumi, piemēram, sociālā inženierija, pikšķerēšana vai fiziski uzbrukumi mūsu darbiniekiem, lietotājiem vai infrastruktūrai.
  • Ievainojamība (tostarp XSS), kas ietekmē tikai novecojušas pārlūkprogrammas / spraudņus.
  • Self-XSS.
  • CSRF nenozīmīgām darbībām (logout utt.).
  • Clickjacking uzbrukumi bez dokumentētas klikšķu sērijas, kas rada ievainojamību.
  • Satura ievietošana, piemēram, tekstu vai HTML tagu ievietošana.
  • Trūkstošas HTTP galvenes, izņemot gadījumus, kad to trūkums nesamazina esošu uzbrukumu.
  • Autentifikācijas apiešana, kas prasa piekļuvi programmatūrai vai ierīcēm
  • Ievainojamība, kam nepieciešama piekļuve parolēm, tokeniem vai lokālajai sistēmai (piemēram, sesijas fiksācija).
  • Iespējamie trūkumi, pamatojoties tikai uz versiju numuriem.
  • Kļūdas, kas prasa pārlieku mazu lietotāju mijiedarbību.
  • Publiskas informācijas un informācijas, kas nerada ievērojamu risku, izpaušana.
  • Scripting vai cita automatizācija, kā arī paredzētās funkcionalitātes rupja forsēšana.
  • Pieprasījumi pārkāpt vienādas izcelsmes politiku (same-origin policy) bez konkrēta uzbrukuma scenārija (piemēram, lietojot CORS, un sīkdatnes netiek izmantotas, lai veiktu autentifikāciju vai tie netiek nosūtīti ar pieprasījumiem).

Visos ziņojumos, lūdzu, iekļaujiet



#
Visos ziņojumos, lūdzu, iekļaujiet:
  • Pilns apraksts par ievainojamību, tostarp par izmantojamību un ietekmi.
  • Visas nepieciešamās darbības, lai atkārtotu ievainojamības izmantošanu.
  • Skartās URL / lietotnes (pat ja iesniedzat mums arī koda fragmentu / videoklipu).
  • IP adreses, kas tika izmantotas testēšanas laikā.
  • Lietotāja ID, kas tiek izmantots PoC.
  • Visus failus, kurus mēģinājāt augšupielādēt.
  • Norādiet pilnu iesnieguma PoC.
  • Lūdzu, saglabājiet visus uzbrukuma žurnālus un pievienojiet tos iesniegumam.

Neiekļaujot nevienu no iepriekš minētajām prasībām, atlīdzības izmaksa var tikt kavēta vai pat atteikta.
Ziņojiet mums uz e-pasta adresi [email protected].


Mēs nevaram izsniegt atlīdzību personām, kuras ir sankciju sarakstos vai kuras dzīvo sankciju sarakstos iekļautās valstīs (piemēram, Kubā, Irānā, Ziemeļkorejā, Sudānā, Sīrijā). Jūs esat atbildīgs par visiem ar nodokļu nomaksu saistītiem jautājumiem atkarībā no jūsu dzīvesvietas valsts un pilsonības. Atkarībā no vietējiem likumiem var būt papildus ierobežojumi Jūsu dalības iespējām.

Tas nav konkurss, bet drīzāk eksperimentāla un diskrecionāra atlīdzību programma. Mēs paturam tiesības atcelt programmu jebkurā laikā.

Biežāk uzdotie jautājumi



Ko darīt, ja esmu atklājis ievainojamību, bet nezinu kā to izmantot?
Mēs sagaidām, ka mums nosūtītie ievainojamības ziņojumi satur atbilstošu uzbrukuma scenāriju, lai saņemtu atlīdzību, un uzskatām, ka tas ir būtisks ievainojamības izpētes posms. Atlīdzības summas tiek noteiktas, pamatojoties uz ievainojamības maksimālo ietekmi, un žūrija vēlas pārskatīt atlīdzības summu, pamatojoties uz jaunu informāciju (piemēram, kļūdu ķēdi vai pārskatītu uzbrukuma scenāriju).
Kā varu demonstrēt kļūdas nopietnību, ja nevaru pārkāpt noteikumus?
Lūdzu, iesniedziet savu ziņojumu, tiklīdz esat atradis potenciālo drošības problēmu. Žūrija izskatīs maksimālo ietekmi un attiecīgi noteiks atlīdzību. Mēs regulāri maksājam lielāku atlīdzību par citādi labi uzrakstītiem un noderīgiem ziņojumiem, kuros ziņotājs nav pamanījis vai nevarēja pilnībā noteikt konkrētās kļūdas ietekmi.