Программа сообщения об ошибках



Условия программы

Пожалуйста, обратите внимание на то, что ваше участие в программе является добровольным и подлежит условиям, изложенным на этой странице. Сообщая Paysera об уязвимости веб-сайта или продукта, вы, тем самым, подтверждаете, что ознакомились и согласны с условиями этой Программы.
Условия данной программы дополняют условия любого другого договора, который Вы заключили с Paysera. При возникновении несоответствий между условиями договоров с Paysera и условиями этой Программы, положения Программы будут превалировать, однако исключительно в отношении Программы сообщения об ошибках.

Руководство по сообщению о проблемах безопасности

Если вы считаете, что обнаружили уязвимость безопасности в Paysera, сообщите об этом нам по эл. почте security@paysera.com. Просим вас указать подробные инструкции по воспроизведению ошибки, а также краткое описание воздействия. Мы поощряем ответственное раскрытие информации (как описанно ниже) и обещаем своевременно расследовать все сообщения, а также устранить любые проблемы как можно скорее.

Услуги, подпадающие под условия программы

Любые службы Paysera, которые обрабатывают конфиденциальные данные пользователей, подпадают под условия Программы. Они практически полностью охватывает содержимое следующих доменов: *.paysera.com

Политика ответственного раскрытия информации



Безопасность средств, данных и сообщений пользователей имеет первостепенное значение для Paysera. В целях поощрения ответственного раскрытия информации, мы не будем инициировать судебных исков против исследователей, которые указывают проблему, если они следуют правилам ответственного раскрытия информации. Правила включают в себя, но не ограничиваются, следующими принципами:

  • Получать доступ, просматривать или изменять только собственные клиентские данные.
  • Не осуществлять атаки, которые могут нанести урон надежности или целостности наших услуг или данных.
  • Избегать методов сканирования, которые могут вызвать ухудшение обслуживания других клиентов (DoS-атаки, распространение спама).
  • Сохранять сведения об уязвимостях в тайне до тех пор, пока Paysera не будет поставлена в известность и проблема не будет устранена.
  • Не предпринимать попытки получить доступ к учетной записи или данным другого пользователя.

При анализе уязвимостей на страницах Paysera, запрещвется использовать методы, которые могут привести к:

  • Сбоям в системе Paysera.
  • Получению доступа, сохранению, распространению или уничтожению данных Paysera или клиентов вами или иными третьими лицами.
  • Воздействию на клиентов Paysera, например, нарушения работы системы, социальная инженерия или спам.

Мы можем ограничить доступ к вашей учетной записи, заблокировать ваш IP-адрес или предпринять другие правовые меры, если вы не будете придерживаться данных принципов.

Просим вас быть открытыми для совместной работы с разработчиками Paysera над воспроизведением, диагностикой и исправлением ошибок, а также, в случае необходимости, предоставить дополнительную информацию об ошибке. Принципы, которыми мы руководствуемся при определении обоснованности сообщений и размера вознаграждения, изложены ниже.

#

Правомерность



#
Участник Программы сообщения об ошибках не может:
  • преследоваться за нарушение государственного или местного законодательства или нормативных актов;
  • быть близким родственником сотрудника Paysera, её дочерних компаний или филиалов.
  • быть младше 14 лет. Если вы достигли 14 лет, но считаетесь несовершеннолетним в своей стране проживания, для участия в программе вам необходимо получить разрешение родителей или опекунов;
Если Paysera станет известно, что вы не отвечаете вышеперечисленным критериям, вы будете дисквалифицированы из Программы сообщения об ошибках и потеряете право на получение вознаграждения.

Объем вознаграждения



Сообщения о более серьезных ошибках будут вознаграждаться в большем обеме. Любая ошибка, которая может стать причиной финансовых потерь или утечки данных, считается достаточно серьезной.
Уязвимостями, за сообщения о которых выплачивается меньшее вознагражение, считается те, которые не приводят к одному или нескольким из этих последствий:
  • частичная / полная потеря средств;
  • утечка информация о пользователе;
  • потеря точности при обмене данными.

Чтобы получить вознаграждение:
  • ошибка безопасности должна быть оригинальной и ранее не представленной;
  • ошибка безопасности может стать причиной эскалации привилегий или утечки информации, и ее можно воспроизвести удаленно.
  • Если два или более человека сообщают об ошибке вместе, вознаграждение делится между ними поравну.

Несколько примеров того, как получить более высокое вознаграждение:
  • Исследователь может продемонстрировать новые классы атак или методы обхода функций безопасности. В случае, если существующая уязвимость может быть продемонстрирована как пригодная для использования в дополнительном исследовании, за ту же ошибку может быть назначена бонусная выплата.
  • Исследования также могут выявить чрезвычайно серьезные, сложные или интересные проблемные области, о которых ранее не было известно.

Объем вознаграждений будет определяться Paysera по собственному усмотрению. Ни в коем случае Paysera не обязана выплачивать вознаграждение за какое-либо сообщение, не связанное с Программой сообщения об ошибках. Вознаграждение за сообщение об ошибке может быть выплачено в евро только на идентифицированный счет Paysera. По желанию иссследователя, вознаграждение может быть направлено на поддержку организаций Гринпис, Красный Крест или Каритас. Перевод вознаграждения в криптовалюте или в другие платежные системы, не указанные на данной странице, невозможен.
При определении размеров выплат, Paysera руководствуется уровнем рисков и влияний, связанных с уязвимостью.

#

Примеры уязвимостей



Примеры квалификацируемых уязвимостей
Paysera оставляет за собой право решать, соблюден ли минимальный порог квалификации серьезности, и было ли сообщено об ошибке ранее.
  • Обход аутентификации или эскалация привилегий.
  • Кликджекинг (Clickjacking).
  • Межсайтовый скриптинг (XSS).
  • Подделка отсылки на межсайтовый запрос (CSRF / XSRF).
  • Скрипты смешанного контента.
  • Выполнение кода на стороне сервера.
  • Нарушение пользовательских данных.
  • Удаленное выполнение кода.
Примеры неквалификацируемых уязвимостей
Сообщения о следующих уязвимостях будут оценены, но не приведут к систематическим выплатам от Paysera.
  • Отказ в обслуживании (DoS) или проблемы, связанные с ограничением скорости передачи данных.
  • Возможности отправки вредоносных ссылок людям, которых вы знаете.
  • Ошибки безопасности на сторонних веб-сайтах, которые интегрируются с API Paysera.
  • Уязвимости, связанные с сторонним программным обеспечением (например, Java, плагинами, расширениями) или веб-сайтом, если они не приводят к уязвимости на веб-сайте Paysera.
  • Спам (включая проблемы, связанные с SPF / DKIM / DMARC).
  • Вопросы использования, автозаполнения форм.
  • Небезопасные настройки в файлах cookie.
  • Уязвимости кэш браузера.
  • Уязвимости (включая XSS), которые требуют от потенциальной жертвы установки нестандартного программного обеспечения или предпринятия других маловероятных активных действий, чтобы попасть под влияние.
  • Нетехнические атаки, такие как социальная инженерия, фишинг или физические атаки против наших сотрудников, пользователей или инфраструктуры.
  • Уязвимости (включая XSS), которые могут оказывать влияние только на устаревшие версии браузеров / плагинов.
  • Self-XSS (межсайтовый скриптинг).
  • CSRF для несущественных действий (выход из системы и т.п.).
  • Кликджекинг-атаки без документированной серии кликов, которые создают уязвимость.
  • Внедрение контента, например, отраженного текста или меток HTML.
  • Отсутствие заголовков HTTP, за исключением случаев, когда их отсутствие не позволяет смягчить существующую атаку.
  • Обход аутентификации, требующий доступа к программному обеспечению или оборудованию.
  • Уязвимости, требующие доступа к паролям, токенам или локальной системе (например, фиксация сеанса).
  • Предполагаемые уязвимости, основанные только на номерах версий.
  • Ошибки, требующие чрезвычайно маловероятных действий со стороны пользователя.
  • Раскрытие общественной информации, а также информации, которая не представляет большого значения.
  • Скриптинг или другая автоматизация и грубое форсирование предполагаемой функциональности.
  • Запросы, нарушающие политику одинакого происхождения (same-origin policy) без конкретных сценариев атаки (например, при использовании CORS, когда cookie-файлы не используются при аутентификации или не отправляются вместе с запросами).

Необходимая информация



#
В любых сообщениях просим указать:
  • Полное описание уязвимости, включая возможное использование и его последствия.
  • Каждый шаг, необходимый для воспроизведения уязвимости.
  • URL-адреса / приложения, затронутые в исследовании (даже если вы также предоставили нам фрагмент кода / видео).
  • IP-адреса, которые использовались при исследовании.
  • Номер ID, использованный для POC.
  • Все файлы, которые вы пытались загрузить.
  • Полное PoC для своего сообщения.
  • Журналы атак.

Несоблюдение любого из вышеуказанных пунктов может задержать или поставить под угрозу выплату вознаграждения.
Сообщите нам об уязвимостях по электронной почте security@paysera.com.


Мы не имеем права выдавать вознаграждения лицам, которые находятся в списках санкций или являются гражданами санкционируемых стран (например, Куба, Иран, Северная Корея, Судан, Сирия). Вы несете ответственность за оплату налогов в зависимости от страны проживания и гражданства. В зависимости от вашего местного законодательства, возможны дополнительные ограничения на ваше участие в Программе.

Это не конкурс, а экспериментальная и дискреционная программа вознаграждения за сообщения об ошибках. Мы оставляем за собой право завершить Программу в любое время.

Часто задаваемые вопросы



Что делать, если я обнаружил уязвимость, но не знаю, как ее использовать?
Мы считаем, что проверка уязвимости является очень важным шагом в исследовании уязвимости, и ожидаем в сообщении возможного сценария атаки, чтобы вы могли претендовать на вознаграждение. Сумма вознаграждения определяется исходя из максимального воздействия уязвимости, однако комиссия готова пересмотреть сумму вознаграждения на основе новой информации (например, цепочки ошибок или пересмотренного сценария атаки).
Как я могу продемонстрировать серьезность ошибки, если я не имею права нарушать правила?
Пожалуйста, отправьте свой отчет, как только вы обнаружите потенциальную проблему безопасности. Комиссия определит максимальное влияние ошибки и назначит соответственное вознаграждение. Мы регулярно выплачиваем более высокие вознаграждения за хорошо написанные и полезные материалы, в которых исследователь не заметил или не смог полностью оценить воздействия конкретной ошибки.