Program zgłaszania luk w zabezpieczeniach

Nasz zespół programistów pracuje nieustannie nad zabezpieczeniem danych klientów. Jednocześnie zdajemy sobie sprawę z ważnej roli, jaką odgrywają badacze bezpieczeństwa i nasza społeczność użytkowników w zapewnianiu ochrony danych klientów. Jeśli odkryjesz lukę w zabezpieczeniach strony internetowej lub produktu, zgłoś ją nam, postępując zgodnie z poniższymi wytycznymi.

Program zgłaszania luk w zabezpieczeniach

Warunki programu

Pamiętaj, że uczestnictwo w programie zgłaszania luk w zabezpieczeniach jest dobrowolne i podlega warunkom określonym na tej stronie. Zgłaszając do Paysery lukę w zabezpieczeniach strony internetowej lub produktu, potwierdzasz, że zapoznałeś się z warunkami tego programu i wyrażasz zgodę na ich stosowanie.
Niniejsze warunki programu uzupełniają warunki każdej innej umowy, którą zawarłeś z Payserą. W przypadku niespójności między warunkami umów z Payserą a niniejszymi warunkami programu, te drugie mają pierwszeństwo wyłącznie w odniesieniu do programu zgłaszania luk w zabezpieczeniach.

Wytyczne dotyczące zgłaszania problemów z bezpieczeństwem

Jeśli uważasz, że znalazłeś lukę w zabezpieczeniach Paysery, zgłoś ją nam za pomocą poczty elektronicznej [email protected]. Podaj szczegółowe kroki, które należy podjąć, aby odtworzyć problem, oraz krótki opis jego potencjalnego wpływu. Zachęcamy do odpowiedzialnego ujawniania informacji (zgodnie z opisem poniżej) i zobowiązujemy się do niezwłocznego zbadania wszystkich zasadnych zgłoszeń oraz jak najszybszego rozwiązania wszelkich potwierdzonych problemów.

Usługi objęte programem

Za objęte programem uznaje się wszystkie usługi Paysery, które przetwarzają stosunkowo wrażliwe dane użytkowników. Obejmuje to między innymi niemal wszystkie treści znajdujące się w następujących domenach: *.paysera.com.

Polityka odpowiedzialnego ujawniania informacji

Bezpieczeństwo środków, danych i komunikacji użytkowników jest dla Paysery najwyższym priorytetem. Aby zachęcić do odpowiedzialnego ujawniania informacji, nie podejmiemy działań prawnych przeciwko badaczom, którzy identyfikują luki w zabezpieczeniach, pod warunkiem że stosują się do zasad odpowiedzialnego ujawniania informacji, które obejmują między innymi:

Dostęp do danych klienta, ich ujawnianie lub modyfikowanie wyłącznie własnych.

Niepodejmowanie ataków, które mogłyby zaszkodzić niezawodności lub integralności naszych usług lub danych.

Unikanie technik skanowania, które mogą powodować pogorszenie jakości usług dla innych klientów (DoS, spamowanie).

Zachowanie w tajemnicy szczegółów dotyczących luk w zabezpieczeniach do czasu, gdy Paysera zostanie powiadomiona i naprawi problem.

Niepodejmowanie prób uzyskania dostępu do konta lub danych innego użytkownika.

Badając luki w zabezpieczeniach na stronie internetowej Paysery, kategorycznie zabrania się:

Podejmowania działań, które mogłyby zakłócić lub wpłynąć na działanie systemów Paysery.

Próby bezprawnego dostępu, kopiowania, rozpowszechniania lub niszczenia danych Paysery lub jej klientów, samodzielnie lub za pośrednictwem stron trzecich.

Szkodzenia klientom Paysery, w tym zakłócania świadczenia usług, stosowania metod socjotechnicznych lub wysyłania niechcianych wiadomości.

Jeśli nie zastosujesz się do tych zasad, Paysera może ograniczyć Twoje konto, zablokować Twój adres IP i podjąć inne działania prawne.
Zachęcamy do współpracy z programistami Paysery w zakresie odtwarzania, diagnozowania i naprawiania problemów. Stosujemy następujące wytyczne, aby określić, czy zgłoszenia kwalifikują się do programu, oraz ustalić wysokość nagrody.

Warunki uczestnictwa

Osoba nie kwalifikuje się do udziału w programie zgłaszania luk w zabezpieczeniach, jeśli:

Naruszyła jakiekolwiek przepisy prawa krajowego lub lokalnego.

Jest bliskim członkiem rodziny pracownika Paysery, jej spółek zależnych lub oddziałów.

Nie ukończyła 14 lat. Jeśli masz co najmniej 14 lat, ale w Twoim miejscu zamieszkania jesteś uznawany za osobę niepełnoletnią, musisz uzyskać zgodę podpisaną przez rodziców lub opiekunów prawnych przed wzięciem udziału w programie.

Jeśli Paysera stwierdzi, że nie spełniasz któregokolwiek z powyższych kryteriów, usunie Cię z programu zgłaszania luk w zabezpieczeniach i pozbawi prawa do otrzymania jakichkolwiek nagród.

Wysokość nagrody

Nagrody są przyznawane na podstawie stopnia dotkliwości luki w zabezpieczeniach. Im bardziej znacząca luka, tym wyższa nagroda za jej zgłoszenie. Szczególnie krytyczne są luki, które mogą prowadzić do strat finansowych lub zagrożenia bezpieczeństwa danych.

Mniejsza nagroda przyznawana jest za luki, które nie powodują następujących skutków:

Częściowa/całkowita utrata środków.

Wyciek danych użytkownika.

Naruszenie integralności transmisji danych.

We wszystkich przypadkach zachowaj poufność informacji o lukach w systemie do czasu, gdy Paysera zostanie powiadomiona i problem zostanie rozwiązany.

Nie podejmuj prób uzyskania dostępu do konta lub danych innego użytkownika.

Aby kwalifikować się do nagrody, luka w zabezpieczeniach musi spełniać następujące kryteria:

Musi być oryginalna i wcześniej niezgłoszona.

Musi wykazywać lukę w zdalnym systemie, potencjał eskalacji uprawnień lub ryzyko ujawnienia poufnych informacji.

Jeśli wiele osób zgłosi tę samą lukę w zabezpieczeniach w tym samym czasie, nagroda zostanie podzielona między nie proporcjonalnie.
Wyższa nagroda może zostać przyznana w następujących przypadkach:

Badacz może wykazać nowe rodzaje ataków lub techniki omijania funkcji zabezpieczeń. Lub jeśli można wykazać, że istniejącą lukę można wykorzystać dzięki dodatkowym badaniom przeprowadzonym przez zgłaszającego, za tę samą usterkę można otrzymać dodatkowe wynagrodzenie.

Badania mogą również ujawnić niezwykle poważne, złożone lub interesujące obszary problemu, które były wcześniej niezgłoszone lub nieznane.

Jeśli raport spełnia wszystkie wymagania programu, wysokość nagród zostanie określona przez Payserę według jej własnego uznania. W żadnym wypadku Paysera nie jest zobowiązana do wypłaty nagrody za raporty wykraczające poza zakres programu zgłaszania luk w zabezpieczeniach. Wszystkie nagrody mogą być wypłacane wyłącznie w euro na zidentyfikowane konto Paysera. Nagroda może być również przekazana organizacjom Greenpeace, Czerwony Krzyż lub Caritas na życzenie badacza. Płatności za pomocą kryptowaluty lub innych systemów płatności niewymienionych na tej stronie nie są obsługiwane.

Określając wysokość nagrody, Paysera ocenia ryzyko, jakie stwarza luka w zabezpieczeniach, oraz potencjalny wpływ, jaki może mieć.

Przykłady luk w zabezpieczeniach

Przykłady luk kwalifikujących się do programu

Paysera zastrzega sobie prawo do decydowania, czy został spełniony minimalny próg kwalifikacyjny dotkliwości i czy luka została już zgłoszona.

Obejście uwierzytelnienia lub eskalacja uprawnień.
Clickjacking (gdy użytkownik zostaje nakłoniony do kliknięcia ukrytych lub zamaskowanych elementów strony internetowej).
Cross-site scripting (XSS) (luka umożliwiająca wstrzyknięcie dodatkowego kodu do strony internetowej przeglądanej przez użytkowników).
Cross-site request forgery (CSRF/XSRF)
Skrypty o mieszanej zawartości
Wykonywanie kodu po stronie serwera
Naruszenie danych użytkownika
Zdalne wykonywanie kodu

Przykłady luk niekwalifikujących się do programu

Zgłaszanie następujących luk w zabezpieczeniach jest mile widziane, ale nie doprowadzi do systematycznego wynagrodzenia ze strony Paysery:

Luki typu Denial of Service (DoS) lub problemy związane z ograniczeniem szybkości.
Możliwość wysyłania złośliwych linków do znanych osób.
Błędy w zabezpieczeniach w witrynach internetowych stron trzecich, które integrują się z API Paysery.
Luki w zabezpieczeniach związane z oprogramowaniem stron trzecich (np. Java, wtyczki, rozszerzenia) lub stroną internetową, chyba że prowadzą do luki w zabezpieczeniach na stronie Paysery.
Spam (w tym problemy związane z SPF/DKIM/DMARC).
Problemy z użytecznością, automatyczne wypełnianie formularzy.
Niezabezpieczone ustawienia w niewrażliwych plikach cookie.
Luki w pamięci podręcznej przeglądarki.
Luki w zabezpieczeniach (w tym XSS), które wymagają od potencjalnej ofiary zainstalowania niestandardowego oprogramowania lub podjęcia innych bardzo mało prawdopodobnych aktywnych kroków, aby stać się podatną na atak.
Ataki nietechniczne, takie jak socjotechnika, phishing lub ataki fizyczne na naszych pracowników, użytkowników lub infrastrukturę.
Luki w zabezpieczeniach (w tym XSS), które dotyczą tylko starszych przeglądarek/wtyczek.
Self-XSS (gdy użytkownik przypadkowo zainstaluje złośliwy kod na własnej stronie internetowej).
CSRF dla nieistotnych działań (wylogowanie itp.).
Ataki typu clickjacking bez udokumentowanej serii kliknięć, które powodują lukę w zabezpieczeniach.
Wstrzykiwanie treści, takie jak odzwierciedlony tekst lub znaczniki HTML.
Brakujące nagłówki HTTP, z wyjątkiem sytuacji, gdy ich brak nie pozwala na złagodzenie istniejącego ataku.
Obejście uwierzytelniania, które wymaga dostępu do oprogramowania/sprzętu.
Luki w zabezpieczeniach, które wymagają dostępu do haseł, tokenów lub systemu lokalnego (np. utrwalenie sesji).
Domniemane luki w zabezpieczeniach oparte wyłącznie na numerach wersji.
Błędy wymagające niezwykle mało prawdopodobnej interakcji użytkownika.
Ujawnienie informacji publicznych i informacji, które nie stanowią znaczącego ryzyka.
Skrypty lub inna automatyzacja oraz wymuszanie zamierzonej funkcjonalności.
Żądania naruszające politykę tego samego pochodzenia bez konkretnego scenariusza ataku (na przykład w przypadku korzystania z CORS, a pliki cookie nie są używane do uwierzytelniania lub nie są wysyłane wraz z żądaniami).

Wymagane informacje

Zgłaszając informacje o luce w zabezpieczeniach, podaj:

Pełny opis zgłaszanej luki w zabezpieczeniach, w tym możliwości jej wykorzystania i wpływu.

Udokumentuj wszystkie kroki wymagane do odtworzenia wykorzystania luki w zabezpieczeniach.

Adresy URL/aplikacje, których dotyczy problem (nawet jeśli dostarczyłeś nam fragment kodu/wideo).

Adresy IP, które zostały użyte podczas testowania.

Zawsze podawaj identyfikator użytkownika, który jest używany do POC.

Zawsze dołączaj wszystkie pliki, które próbowałeś przesłać.

Dostarcz pełny POC.

Zapisz wszystkie dzienniki ataków i dołącz je do raportu.

Niepodanie któregokolwiek z wymaganych elementów może skutkować wstrzymaniem lub opóźnieniem wypłaty nagrody.
Zgłaszaj nam wszelkie luki w zabezpieczeniach za pomocą poczty elektronicznej [email protected].

Ważne!

Nagrody nie mogą być przyznawane osobom objętym sankcjami ani obywatelom krajów znajdujących się na liście sankcji (Kuba, Iran, Korea Północna, Sudan, Syria). Jesteś odpowiedzialny za wszelkie podatki mające zastosowanie w oparciu o Twój kraj zamieszkania i obywatelstwo. Przepisy lokalne mogą nakładać dodatkowe ograniczenia, które mogą uniemożliwić Ci uczestnictwo w programie.

Niniejszy program nie jest konkursem, lecz eksperymentalną i uznaniową inicjatywą nagrodową. Pamiętaj, że Paysera może zakończyć program w dowolnym momencie.

Najczęściej zadawane pytania

Co zrobić, jeśli znalazłem lukę, ale nie wiem, jak ją wykorzystać?

Uważamy, że testowanie luk w zabezpieczeniach jest kluczową częścią badań nad bezpieczeństwem i oczekujemy, że przesłane raporty będą zawierać wiarygodny scenariusz ataku, aby można je było wziąć pod uwagę przy przyznawaniu nagrody. Wysokość nagrody jest określana na podstawie maksymalnego potencjalnego wpływu luki w zabezpieczeniach. Panel recenzentów może zweryfikować nagrodę, jeśli pojawią się nowe informacje, które istotnie zwiększają oceniany wpływ (taki jak łańcuch błędów lub zweryfikowany scenariusz ataku).

Jak mogę wykazać dotkliwość luki w zabezpieczeniach, jeśli nie wolno mi łamać zasad?

Prześlij swój raport, gdy tylko odkryjesz potencjalny problem z bezpieczeństwem. Panel rozważy maksymalny wpływ i odpowiednio wybierze nagrodę. Regularnie przyznajemy wyższe nagrody za dobrze napisane i przydatne raporty, w których zgłaszający nie zauważył lub nie mógł w pełni przeanalizować wpływu konkretnej wady.

Program zgłaszania luk w zabezpieczeniach