Paysera

Уведомление о пробелах в безопасности

Наша команда разработчиков постоянно работает над обеспечением безопасности информации клиентов. В то же время мы понимаем важную роль специалистов в области безопасности и сообщества наших пользователей, которые могут помочь защитить данные клиентов. Если Вы обнаружили уязвимость на сайте или в продукте, пожалуйста, сообщите нам об этом, следуя приведенным ниже инструкциям.
#

Уведомление о пробелах в безопасности

Условия программы

Участие в программе уведомления о пробелах в безопасности является добровольным и требует соблюдения условий, представленных на этой странице. Предоставляя информацию об уязвимостях Paysera, Вы подтверждаете то, что ознакомились с условиями данной программы и согласны с ними.
Условия этой программы дополняют любые другие договоры, которые Вы заключили с Paysera. В случае несоответствия условий договоров с Paysera и условий этой программы, приоритет будут иметь условия этой программы, но только в рамках программы уведомления о пробелах в безопасности.

Инструкции по уведомлению о пробелах в безопасности

Если Вы считаете, что обнаружили пробел в системе безопасности Paysera, пожалуйста, сообщите нам об этом по эл. почте [email protected]. Подробно изложите действия, необходимые для воспроизведения ошибки, и кратко опишите ее последствия. Мы поощряем ответственное информирование об уязвимостях (как описано ниже) и обязуемся своевременно рассматривать все законные уведомления, а также как можно быстрее решать любые проблемы.

Область применения

Объектом исследования пробелов в безопасности может быть любая услуга Paysera, касающаяся хранения конфиденциальных данных пользователей. Это включает почти всю информацию, представленную на *.paysera.com

Политика ответственного информирования

Paysera заботится о безопасности средств, данных и коммуникации пользователей. Поэтому, чтобы поощрить ответственное информирование о пробелах в безопасности, мы не предпринимаем юридических действий против лиц, указавших на уязвимости в соответствии с представленными на этой странице условиями и приведенными ниже принципами:

 

 можно раскрывать или изменять только собственные клиентские данные;

 запрещается осуществлять любые атаки, которые могут навредить надежности или целостности наших услуг или данных;

 следует избегать методов сканирования, которые могут ухудшить обслуживание других клиентов (DoS-атаки, рассылка спама);

 во всех случаях нужно держать информацию об уязвимости системы в тайне, пока о ней не будет сообщено Paysera, и проблема не будет решена;

 нельзя пытаться получить доступ к учетной записи или данным другого пользователя.

 

При анализе уязвимостей сайта Paysera строго запрещено:

 

 совершать действия, способные нарушить работу систем Paysera или повлиять на нее;

 пытаться незаконно получить доступ к данным Paysera или ее клиентов, а также копировать, распространять или уничтожать их как самостоятельно, так и через третьих лиц;

 оказывать негативное влияние на клиентов Paysera, включая нарушение процесса предоставления услуг, методы социальной инженерии и отправку нежелательной информации.

 

Если Вы не будете соблюдать эти принципы, Paysera может ограничить пользование Вашей учетной записью, заблокировать IP-адрес и принять другие юридические меры.
Мы предлагаем работать вместе с инженерами Paysera над воссозданием, выявлением и устранением уязвимостей. Чтобы претендовать на вознаграждение, Ваше сообщение должно быть признано обоснованным. При определении его обоснованности и размера вознаграждения мы руководствуемся приведенными ниже принципами.
#
#

Соответствие

В программе уведомления о пробелах в безопасности не может участвовать лицо, которое:

 

 нарушило национальное или местное законодательство;

 является близким членом семьи сотрудника Paysera, а также ее дочерних компаний или филиалов;

 младше 14 лет (если Вам больше 14 лет, но в соответствии с законами Вашей страны проживания Вы все еще считаетесь несовершеннолетним лицом, Вы должны получить согласие родителей или опекунов на участие в программе).
 

Если Paysera установит, что Вы не соответствуете любому из вышеуказанных требований, она имеет право немедленно прекратить Ваше участие в программе уведомления о пробелах в безопасности и отменить любое вознаграждение за сообщение об уязвимости.

Вознаграждение и его размер

Вознаграждение зависит от серьезности уязвимости. Чем серьезнее уязвимость, тем выше сумма вознаграждения за ее обнаружение. Особенно важными считаются уязвимости, которые могут привести к финансовым потерям или нарушению безопасности данных.

Меньшее вознаграждение назначается за пробелы в безопасности, которые не ведут к следующим последствиям:

 потеря финансовых средств (частичная или полная);

 утечка данных пользователя;

 нарушение целостности передачи данных.

 Во всех случаях следует держать в тайне информацию об уязвимости системы до тех пор, пока о ней не будет сообщено Paysera, и проблема не будет решена.

 Не пытайтесь получить доступ к учетной записи или данным другого пользователя.

 

Чтобы получить вознаграждение, пробел в безопасности должен соответствовать следующим критериям:

 выявлен первый раз, и ранее о нем не сообщалось;

 доказаны уязвимость системы на расстоянии, возможность эскалации привилегий или риск раскрытия конфиденциальной информации.

 

Если об одном и том же пробеле в безопасности одновременно сообщают несколько человек, вознаграждение делится между ними пропорционально.
Большее вознаграждение можно получить в следующих случаях:

 претендент продемонстрировал атаки или способы обхода защиты нового типа либо предоставил более подробный анализ существующей уязвимости с дополнительными сценариями ее использования;

 претендент выявил очень важные, комплексные или уникальные проблемы безопасности, о которых ранее не было известно или не сообщалось.


Если уведомление соответствует всем требованиям программы, окончательный размер вознаграждения Paysera определяет по своему усмотрению. Paysera не обязуется выплачивать вознаграждение за уведомления, не подпадающие под условия программы уведомления о пробелах в безопасности. Вознаграждение выплачивается только в евро на подтвержденный счет Paysera. Если претендент захочет, вознаграждение может быть переведено в качестве благотворительной помощи Greenpeace, Красному Кресту или Caritas. Расчеты в криптовалютах или через другие не указанные здесь платежные системы не осуществляются.

Определяя размер вознаграждения, Paysera оценивает связанные с пробелом в безопасности риски и возможный масштаб последствий.
#

Примеры уязвимостей

Примеры квалифицируемых уязвимостей

Paysera оставляет за собой право решать, превышен ли минимальный квалификационный порог серьезности уязвимости, а также – было ли о ней сообщено ранее.

  • Обход аутентификации или эскалация привилегий.

  • „Clickjacking“ (когда пользователя вынуждают кликать по замаскированным элементам сайта).

  • „Cross-site scripting (XSS)“ (уязвимость, которая позволяет внедрить дополнительный программный код на просматриваемую пользователями страницу).

  • Межсайтовая подделка запроса (англ. CSRF / XSRF).

  • Скрипты со смешанным контентом.

  • Выполнение кода на стороне сервера.

  • Утечка данных пользователя.

  • Удаленное выполнение кода.

Примеры неквалифицируемых уязвимостей

Сообщения о нижеуказанных пробелах в безопасности будут оценены Paysera, но за них не предусмотрено регулярное вознаграждение./p>

  • Отказ в обслуживании (англ. DoS) или проблемы, связанные с ограничением частоты запросов (англ. rate-limiting).

  • Возможность отправки вредоносных ссылок людям, которых Вы знаете.

  • Пробелы в безопасности у третьих сторон на сайтах, которые интегрируются с Paysera API.

  • Уязвимости, связанные с программным обеспечением (например, Java, плагины, расширения) или сайтами третьих сторон, за исключением случаев, когда они ведут к проблемам на сайте Paysera.

  • Спам (включая случаи, связанные с SPF/DKIM/DMARC).

  • Проблемы удобства использования, автозаполнение форм.

  • Небезопасные настройки, связанные с нечувствительными cookie-файлами.

  • Уязвимости, связанные с кэшем браузера.

  • Уязвимости (включая XSS), которые требуют от потенциальной жертвы установки нестандартного программного обеспечения или иных крайне маловероятных активных действий себе в ущерб.

  • Нетехнические атаки (такие как социальная инженерия, фишинг или физическое воздействие) на наших сотрудников и пользователей или на нашу инфраструктуру.

  • Уязвимости (включая XSS), затрагивающие только устаревшие браузеры или плагины.

  • „Self-XSS“ (когда пользователь случайно внедряет вредоносный код на свой сайт).

  • Межсайтовая подделка запроса (англ. CSRF), связанная с несущественными действиями (выходом из учетной записи и т. п.).

  • „Clickjacking“ без четко описанной последовательности кликов, приводящей к возникновению уязвимости.

  • Инъекция контента (например, отраженный текст или HTML-теги).

  • Отсутствие HTTP-заголовков, за исключением случаев, когда их отсутствие влияет на предотвращение атаки.

  • Обход аутентификации, требующий доступа к программному или аппаратному обеспечению.

  • Уязвимости, требующие доступа к паролям, токенам или локальной системе (например, фиксация сессии).

  • Предполагаемые уязвимости на основе только номеров версий.

  • Пробелы в безопасности, требующие крайне маловероятных действий пользователя.

  • Раскрытие общедоступной и несущественной с точки зрения безопасности информации.

  • Скриптинг или другая автоматизация, а также перебор предусмотренной функциональности.

  • Запросы, нарушающие политику одинакового происхождения (англ. same-origin policy) без конкретного сценария атаки (например, при использовании CORS, когда cookie-файлы не используются для аутентификации или не передаются с запросами).

#

Необходимая информация

При предоставлении информации о пробелах в безопасности:

 

 подробно опишите уязвимость, включая возможность ее использования и последствия;

 опишите каждый шаг, необходимый для воссоздания возможности использования уязвимости;

 укажите затронутые URL-адреса или приложения (даже если Вы также предоставили нам фрагмент кода или видеоматериал);

 укажите IP-адреса, которые использовались в процессе выявления уязвимости;

 всегда указывайте номер (ID) пользователя, который использовался для демонстрации концепции (англ. PoC);

 всегда прилагайте все файлы, которые Вы пытались загрузить;

 представьте полную демонстрацию концепции;

 сохраните все журналы атак и приложите их к сообщению.


Если какой-либо из перечисленных элементов не будет предоставлен, вознаграждение может быть не выплачено, или его выплата может задержаться.
Сообщайте нам о пробелах в безопасности по эл. почте [email protected].
#

Важно!

Мы не можем вознаграждать находящихся под санкциями лиц и граждан находящихся под санкциями стран (Куба, Иран, Северная Корея, Судан, Сирия). Вы несете ответственность за любые налоги с учетом Вашей страны и гражданства. Также в законах Вашей страны могут быть предусмотрены дополнительные ограничения, которые не позволят Вам участвовать в программе.

 

Это не конкурс, а экспериментальная и дискреционная программа вознаграждений, которую мы можем остановить в любое время.

Часто задаваемые вопросы

Мы считаем, что проверка системы на наличие уязвимостей является очень важной частью процесса их изучения, и рассчитываем на то, что в присланных нам сообщениях будут описаны заслуживающие внимания сценарии атак, что позволит их автору претендовать на вознаграждение. Размер вознаграждения определяется на основании оценки максимального возможного эффекта выявленной уязвимости. При этом комиссия может пересмотреть сумму вознаграждения в случае получения дополнительной информации о серьезности возможных последствий (например, информации о цепочке ошибок или обновленного сценария атаки).
Если Вы заметили потенциальную угрозу безопасности, пожалуйста, как можно скорее сообщите нам о ней. Комиссия оценит ее максимальный возможный эффект и определит соответствующую сумму вознаграждения. Мы регулярно выплачиваем более высокое вознаграждение за хорошо составленные и полезные сообщения, даже если их автор не понял или недооценил значимость определенной уязвимости.
Become a follower