Paysera

Програма за награди за откриване на бъгове

Нашият екип от разработчици работи непрекъснато, за да гарантира сигурността на информацията на клиентите. В същото време ние разбираме важната роля, която изследователите в областта на сигурността и нашата потребителска общност играят за поддържането на сигурността на данните на клиентите. Ако откриете уязвимост в уебсайт или продукт, моля, уведомете ни, като следвате указанията по-долу.
#

Програма за награди за откриване на бъгове

Условия на програмата

Моля, имайте предвид, че участието Ви в програмата за награди за откриване на бъгове е доброволно и подлежи на условията, изложени на тази страница. С докладването на уязвимост на уебсайт или продукт към Paysera, Вие потвърждавате, че сте прочели и сте съгласни с условията на тази програма.
Тези условия на програмата допълват условията на всяко друго споразумение, което сте сключили с Paysera. В случай на несъответствие между условията на споразуменията с Paysera и условията на програмата, последните имат предимство единствено по отношение на програмата за награди за откриване на бъгове.

Насоки за докладване на проблеми, свързани със сигурността

Ако смятате, че сте открили уязвимост в сигурността на Paysera, моля, докладвайте ни за това по имейл на адрес [email protected]. Моля, включете подробни стъпки за възпроизвеждане на проблема и кратко описание на потенциалното му въздействие. Ние насърчаваме отговорното разкриване (както е описано по-долу) и се ангажираме да разследваме незабавно всички легитимни доклади, като се занимаваме с потвърдените проблеми възможно най-скоро.

Услуги в обхвата

Всяка услуга на Paysera, която обработва разумно чувствителни потребителски данни, се счита за попадаща в обхвата. Това включва, но не се ограничава до, практически цялото съдържание в следните домейни: *.paysera.com.

Политика за отговорно разкриване на информация

Сигурността на средствата, данните и комуникациите на потребителите е основен приоритет за Paysera. За да насърчим отговорното разкриване на уязвимости, няма да предприемаме правни действия срещу изследователи, които идентифицират уязвимости, при условие че те спазват принципите на отговорното разкриване, които включват, но не се ограничават до следното:

 

 Достъпвайте, разкривайте или променяйте само вашите собствени клиентски данни.

 Не извършвайте никакви атаки, които биха могли да навредят на надеждността или целостта на нашите услуги или данни.

 Избягвайте техники за сканиране, които могат да доведат до влошаване на услугата за други клиенти (DoS, спам).

 Винаги пазете в тайна подробностите за уязвимостите, докато Paysera не бъде уведомена и не отстрани проблема.

 Не се опитвайте да получите достъп до акаунта или данните на друг потребител.

 

При проучването на уязвимости на уебсайта на Paysera е строго забранено:

 

  Извършване на действия, които могат да нарушат или повлияят на работата на системите на Paysera;

  Да се опитвате да получите незаконен достъп, да копирате, разпространявате или унищожавате данни на Paysera или на нейните клиенти, самостоятелно или чрез трети лица;

  Нанасяне на вреда на клиентите на Paysera, включително прекъсване на предоставянето на услуги, използване на методи за социално инженерство или изпращане на нежелани съобщения.

 

Ако не спазвате тези принципи, Paysera може да ограничи достъпа ви до акаунта, да блокира IP адреса ви и да предприеме други правни действия.
Приканваме ви да сътрудничите на разработчиците на Paysera при възпроизвеждането, диагностицирането и отстраняването на проблема. Използваме следните насоки, за да определим допустимостта на заявките и размера на възнаграждението.
#
#

Право на участие

Лицето няма право да участва в програмата за награди за откриване на бъгове, ако:

 

 е нарушило национални или местни закони;

 е близък роднина на служител на Paysera, нейните дъщерни дружества или клонове;

 е на възраст под 14 години. Ако сте навършили 14 години, но се считате за непълнолетен в мястото си на пребиваване, трябва да получите писмено разрешение от родителите си или законните си настойници, преди да участвате в програмата.
 

Ако Paysera установи, че не отговаряте на някое от горните критерии, Paysera ще ви изключи от Програмата за награди за откриване на бъгове и ще ви лиши от правото да получавате каквито и да било награди.

Размер на наградата

Наградите се присъждат в зависимост от степента на уязвимост в сигурността. Колкото по-значителна е уязвимостта, толкова по-висока е наградата за нейното съобщаване. Уязвимостите, които могат да доведат до финансови загуби или да компрометират сигурността на данните, се считат за особено критични.

По-малка награда се дава за уязвимости, които не водят до следните резултати:

 Частична/пълна загуба на средства;

 Изтичане на потребителски данни;

 Нарушаване на целостта на предаването на данни.

 Във всички случаи запазете конфиденциалността на информацията за уязвимостите на системата, докато Paysera не бъде уведомена и проблемът не бъде разрешен.

 Не се опитвайте да получите достъп до акаунта или данните на друг потребител.

 

За да бъдете допуснати го наградата, уязвимостта в сигурността трябва да отговаря на следните критерии:

 Трябва да е оригинална и да не е била докладвана преди;

 Трябва да демонстрира уязвимост на отдалечена система, потенциал за ескалиране на привилегии или риск от разкриване на поверителна информация.

 

Ако няколко лица съобщят едновременно за една и съща уязвимост в сигурността, наградата ще бъде разпределена пропорционално между тях.
По-висока награда може да бъде присъдена в следните случаи:

 Изследователят може да демонстрира нови видове атаки или техники за заобикаляне на функциите за сигурност. Или, ако съществуваща уязвимост може да бъде демонстрирана като използваема чрез допълнително проучване от страна на докладващия, може да бъде получена допълнителна компенсация за същия бъг.

 Изследването може също да разкрие изключително сериозни, сложни или интересни проблемни области, които преди това не са били докладвани или са били неизвестни.


Ако даден сигнал отговаря на всички изисквания на програмата, Paysera ще определи размера на наградата по свое усмотрение. Paysera не е длъжна да изплаща награда за сигнали, които не попадат в обхвата на Програмата за награди за откриване на бъгове. Всички награди се изплащат само в евро по посочена сметка в Paysera. Наградата може да бъде преведена и на организациите Greenpeace, Червен кръст или Каритас по искане на изследователя. Плащания чрез криптовалута или други платежни системи, които не са споменати на тази страница, не се поддържат.

При определяне на размера на наградата Paysera оценява риска, породен от уязвимостта на сигурността, и потенциалното въздействие, което тя може да има.
#

Примери за уязвимости

Примери за квалифициращи уязвимости

Paysera си запазва правото да реши дали е спазен минималният праг за сериозност и дали вече е бил докладван.

  • Заобикаляне на удостоверяване или ескалиране на привилегии.

  • „Кликване с подвеждане (когато потребителят е подведен да кликне върху скрити или маскирани елементи на уеб страница).

  • „Крос-сайт скриптинг (XSS) (уязвимост, която позволява инжектирането на допълнителен код в уеб страница, разглеждана от потребителите)

  • Фалшифициране на заявки между сайтове (CSRF/XSRF)

  • Скриптове със смесено съдържание

  • Изпълнение на код от страна на сървъра

  • Нарушение на потребителските данни

  • Изпълнение на отдалечен код

Примери за неквалифицирани уязвимости

Докладването на следните уязвимости се оценява, но няма да доведе до систематично възнаграждение от Paysera:

  • Уязвимост от типа „отказ на услуга“ (DoS) или проблеми, свързани с ограничаване на скоростта.

  • Възможности за изпращане на злонамерени връзки на хора, които познавате.

  • Бъгове в сигурността на уебсайтове от трети страни, които са интегрирани с Paysera API.

  • Уязвимости, свързани със софтуер на трети страни (например Java, плъгини, разширения) или уебсайт, освен ако не водят до уязвимост на уебсайта на Paysera.

  • Спам (включително проблеми, свързани с SPF/DKIM/DMARC).

  • Проблеми с използваемостта, формуляри автодовършване.

  • Несигурни настройки в нечувствителни бисквитки.

  • Уязвимости в кеша на браузъра.

  • Уязвимости (включително XSS), които изискват потенциална жертва да инсталира нестандартен софтуер или по друг начин да предприеме много малко вероятни активни стъпки, за да бъдат податливи.

  • Нетехнически атаки като социално инженерство, фишинг или физически атаки срещу нашите служители, потребители или инфраструктура.

  • Уязвимости (включително XSS), които засягат само наследения браузър/плъгини.

  • „Self-XSS (когато потребител случайно инсталира злонамерен код на собствения си уебсайт).

  • CSRF за незначителни действия (изход и т.н.).

  • „Атаки с кликване без документирана поредица от кликвания, които произвеждат уязвимост.

  • Впръскване на съдържание, като например отразен текст или HTML тагове.

  • Липсват HTTP заглавки, освен когато отсъствието им не успее да смекчи съществуваща атака.

  • Байпаси за удостоверяване, които изискват достъп до софтуер/хардуер.

  • Уязвимости, които изискват достъп до пароли, токени или локалната система (напр. фиксиране на сесията).

  • Предполагаеми уязвимости въз основа само на номера на версиите.

  • Бъгове, изискващи изключително малко вероятно взаимодействие с потребителя.

  • Разкриване на публична информация и информация, която не представлява значителен риск.

  • Скриптове или друга автоматизация и грубо принуждаване на предвидената функционалност.

  • Исканията за нарушаване на правилата за същия произход без конкретен сценарий на атака (например при използване на CORS и бисквитките не се използват при извършване на удостоверяване или не се изпращат с искания).

#

Необходима информация

Когато подавате информация за уязвимост в сигурността, моля, предоставете:

 

 Full description of the vulnerability being reported including the exploitability and impact.

 Пълно описание на докладваната уязвимост, включително възможността за експлоатация и въздействие

 Засегнати URL адреси/приложения (дори ако сте ни предоставили и фрагмент от код/видео).

 IP адреси, които са били използвани по време на тестването.

 Винаги включвайте потребителското име, което се използва за PоC.

 Винаги включвайте всички файлове, които сте се опитали да качите.

 Предоставете пълния PoC.

 Моля, запазете всички записи за атаките и ги приложете към доклада.


Непосочването на някой от изискваните елементи може да доведе до задържане или забавяне на изплащането на наградата.
Съобщавайте ни за всички уязвимости по имейл на адрес [email protected].
#

Забележка!

Награди не могат да се предоставят на лица, подложени на санкции, или на граждани на страни, включени в списъка на санкционираните държави (Куба, Иран, Северна Корея, Судан, Сирия). Вие носите отговорност за всички данъци, приложими въз основа на държавата, в която живеете, и гражданството ви. Местните закони могат да налагат допълнителни ограничения, които да Ви попречат да участвате в програмата.

 

Тази програма не е състезание, а по-скоро експериментална и дискреционна инициатива за награди. Моля, имайте предвид, че Paysera може да прекрати програмата по всяко време.

Често задавани въпроси

Считаме тестването за уязвимости за жизненоважна част от изследванията в областта на сигурността и очакваме подадените доклади да включват достоверен сценарий за атака, за да могат да бъдат разгледани за награда. Размерът на наградите се определя от максималното потенциално въздействие на уязвимостта. Комисията за преглед може да ревизира наградата, ако се появи нова информация, която съществено увеличава оцененото въздействие (като верига от бъгове или ревизиран сценарий за атака).
Моля, изпратете доклада си веднага след като откриете потенциален проблем със сигурността. Комисията ще прецени максималното въздействие и ще избере съответната награда. Ние рутинно изплащаме по-високи награди за добре написани и полезни доклади, в които докладчикът не е забелязал или не е могъл да анализира напълно въздействието на даден проблем.
Become a follower