Raportowanie luk w bezpieczeństwie



Warunki programu

Uczestnictwo w Programie raportowania luk w bezpieczeństwie jest dobrowolne i powinno być zgodne z warunkami podanymi na stronie poniżej. Składając informację o lukach Paysera potwierdzasz, że zapoznałeś się i zgadzasz się z warunkami danego programu.
Warunki danego programu uzupełniają warunki dowolnej innej umowy, którą zawarłeś z Paysera. Warunki tych umów będą stosowane wobec Ciebie podczas korzystania i uczestnictwa w Programie raportowania luk w bezpieczeństwie w taki sposób, jakby były one określone w niniejszym dokumencie. W przypadku niespójności pomiędzy warunkami umów a warunkami danego Programu, przeważają warunki danego Programu, ale tylko wobec Programu raportowania luk w bezpieczeństwie.

Wskazówki raportowania luk w bezpieczeństwie

Jeżeli uważasz, że znalazłeś lukę w bezpieczeństwie Paysera, prosimy o powiadomienie poprzez e-mail [email protected]. Podaj dokładne działania, które pomogą przywróć błąd i krótko opisz wpływ błędu. Zachęcamy do odpowiedzialnego ujawniania (jak opisano poniżej) i obiecujemy w czas zbadać wszystkie legalne raporty, a także jak to możliwe najszybciej rozwiązać dowolny problem.

Zakres zastosowania

Przedmiotem badania luk w bezpieczeństwie może być dowolna usługa Paysera, która chroni poufne dane użytkowników. To obejmuje prawie wszystkie informacje dostępne na *.paysera.com

Polityka odpowiedzialnego ujawniania informacji



Paysera troszczy się o bezpieczeństwo środków, danych i komunikacji użytkowników. Aby zachęcić do odpowiedzialnego ujawniania luk w bezpieczeństwie, nie będziemy podejmowali kroków prawnych przeciwko użytkownikom, którzy wskazują na lukę zgodnie z zasadami i warunkami podanymi na stronie poniżej:

  • Należy udostępniać, ujawniać lub zmieniać wyłącznie swoje dane użytkownika.
  • Zabronione jest przeprowadzanie jakichkolwiek ataków, które mogą zaszkodzić niezawodności lub integralności naszych usług lub danych.
  • Należy unikać sposobów, które mogą pogorszyć obsługę pozostałych klientów (DoS ataki, wysyłanie spamu).
  • We wszystkich przypadkach należy zachować w tajemnicy informacje o lukach w systemie aż Paysera zostanie poinformowana o nich i problem zostanie rozwiązany.
  • Nie należy próbować otrzymać dostęp do konta lub danych innego użytkownika.

Podczas badania luk na stronach internetowych Paysera jest zabronione wykonywanie tego, co by mogło:

  • Spowodować zakłócenia systemów Paysera.
  • Pozwolić Tobie lub innej osobie trzeciej otrzymać dostęp do, chronić, udostępniać lub zniszczyć dane Paysera lub klientów Paysera.
  • Mieć jakikolwiek wpływ na klientów Paysera, jak na przykład zakłócić świadczenie usług za pomocą inżynierii społecznej lub wysyłania spamu.

Jeżeli nie będziesz przestrzegał tych zasad, Paysera może ograniczyć Twoje konto, zablokować Twój adres IP i podjąć inne działania prawne.

Zapraszamy do współpracy z inżynierami Paysera w przywróceniu, określeniu i usunięciu luk. Aby ubiegać się o wynagrodzenie, Twoja wiadomość powinna być przyznana przez Paysera za uzasadnioną. Ważność wiadomości i wynagrodzenie są określane na podstawie wytycznych podanych poniżej.

#



#
Uczestnik Programu raportowania luk w bezpieczeństwie nie może:
  • naruszać prawo kraju lub miejscowości;
  • być członkiem rodziny osoby, która pracuje w Paysera, spółkach zależnych lub filiach;
  • być poniżej 14 roku życia. Jeśli masz powyżej 14 lat, ale tam, gdzie mieszkasz, jesteś osobą niepełnoletnią, przed uczestnictwem w programie musisz otrzymać pozwolenie rodziców lub opiekunów.
Jeżeli Paysera ustali, że nie odpowiadasz warunkom powyżej, zostaniesz usunięty z Programu raportowania luk w bezpieczeństwie i stracisz prawo do otrzymania wynagrodzenie za raportowanie luk.

Wynagrodzenie



Za raportowanie poważnych luk w bezpieczeństwie jest wypłacane wynagrodzenie. Im większa jest luka, tym większe wynagrodzenie jest wypłacane. Dowolna luka, która może spowodować stratę finansową lub naruszenia w bezpieczeństwie danych, jest uważana za poważną. Luki, za które jest wypłacanie mniejsze wynagrodzenie, nie powodują żadnej z poniżej podanych konsekwencji:
  • częściowa / całkowita strata środków;
  • przeciek informacji użytkownika;
  • utrata dokładności wymiany danych.

Aby otrzymać wynagrodzenie, luka ma być:
  • pierwotna i wcześniej nie raportowana;
  • zdalna, a także być sposobem zwiększenia lub otrzymania nowych uprawnień lub być przyczyną przecieku informacji poufnej.

Jeżeli dwie lub więcej osób raportują o luce jednocześnie, wynagrodzenie zostanie rozdzielone pomiędzy nimi.   Kilka przykładów tego, jak można otrzymać większe wynagrodzenie:
  • Badacz demonstruje nowe klasy atak lub techniki obejścia zabezpieczeń. Jeżeli sposób wykorzystania istniejących luk jest pokazany w dodatkowym badaniu osoby, za ten sam błąd może być przyznane dodatkowe wynagrodzenie.
  • Badanie także może ujawniać poważne, skomplikowane lub ciekawe obszary problemowe, które dotąd nie były znane lub raportowane.

Jeżeli raport będzie odpowiadał wszystkim warunkom programu, Paysera ustali wynagrodzenie według swojego uznania. W innych przypadkach Paysera nie jest zobowiązana do wypłacania żadnego wynagrodzenia za dowolny raport, który nie jest powiązany z programem. Wynagrodzenie jest wypłacane w euro wyłącznie na zidentyfikowany rachunek Paysera. Ponadto, wynagrodzenie może być przeznaczone dla wsparcia takich organizacji, jak Greenpeace, Red Cross lub Caritas. Wynagrodzenie nie może być wypłacone w kryptowalucie lub na konta innych systemów, niż wskazano na tej stronie.
Ustalając wielkość wynagrodzenia, Paysera opiera się na skomplikowaniu ryzyka i efektu luki.

#

Przykłady luk



Przykłady kwalifikowanych luk
Paysera pozostawia za sobą prawo samodzielnie podjąć decyzję o tym, czy minimalny limit kwalifikacyjny został przekroczony, a także czy luka już była wcześniej raportowana.
  • Obejście uwierzytelniania lub przekroczenie uprawnień.
  • „Clickjacking“ (gdy użytkownik jest zmuszony do kliknięcia na zamaskowane elementy strony internetowej).
  • „Cross-site scripting (XSS)“ (luka, która pozwala dodać dodatkowy kod skryptu na stronę internetową, przeglądaną przez użytkowników).
  • Fałszywe zapytania cross-site (CSRF / XSRF).
  • Skrypty z mieszaną zawartością.
  • Wykonywanie kodu na serwerze.
  • Naruszenie danych użytkownika.
  • Zdalne wykonanie kodu.
Przykłady niekwalifikowanych luk
Raporty o danych lukach zostaną docenione przez Paysera, ale za nie nie będzie wypłacane stałe wynagrodzenie:
  • Odmowa dostępu do usługi (DoS) lub problemy, powiązane z ograniczeniem normy.
  • Możliwość wysyłania szkodliwych linków dla znajomych osób.
  • Luki w bezpieczeństwie na stronach osób trzecich, które są zintegrowane z Paysera poprzez API.
  • Luki, powiązane z oprogramowaniem lub stronami internetowymi strony trzeciej (np. Java, wtyczki, rozszerzenia), za wyjątkiem gdy to powoduje lukę na stronie internetowej Paysera.
  • Spam (za wyjątkiem SPF/DKIM/DMARC).
  • Problemy w korzystaniu, automatyczne wypełnianie formularzy.
  • Niebezpieczne ustawienia plików cookie.
  • Luka w pamięci podręcznej przeglądarki.
  • Luki (w tym XSS), które potrzebują aby potencjalna ofiara zainstalowała niestandardowe oprogramowanie lub podjęła inne mało prawdopodobne działania, aby została dotknięta przez lukę.
  • Nietechniczne ataki, takie jak inżynieria społeczna, oszustwo lub ataki fizyczne przeciwko naszym pracownikom, użytkownikom lub infrastrukturze.
  • Luki (w tym XSS), które działają tylko na przestarzałe przeglądarki / wtyczki.
  • „Self-XSS“ (gdy użytkownik przez pomyłkę instaluje szkodliwy kod na swoją stronę internetową).
  • CSRF z powodu nieistotnych działań (wylogowanie, itd.).
  • Ataki „Clickjacking“ bez szeregu zarejestrowanych kliknięć, które powodują lukę.
  • Przesłanie zawartości, jak na przykład odbity tekst lub znaczniki HTML.
  • Brak nagłówków HTTP, za wyjątkiem gdy z powodu ich braku nie udaje się przeciwdziałać atakom.
  • Obejście uwierzytelniania, które potrzebuje dostępu do oprogramowania lub sprzętu.
  • Luki, które potrzebują dostępu do haseł, znaczników lub systemu lokalnego (np. przechwytywanie sesji).
  • Ukryte luki, uzasadniane tylko numerami wersji.
  • Luki, które potrzebują mało prawdopodobnych działań użytkownika.
  • Ujawnienie informacji publicznych i informacji, które nie są bardo znaczące.
  • Instalacja programu lub inne wymuszone działania przeznaczone dla oczekiwanej funkcjonalności.
  • Zapytania naruszające politykę tego samego pochodzenia (same-origin policy) bez konkretnego scenariusza ataku (np. gdy używany jest CORS i uwierzytelnianie nie jest wykonywane za pomocą ciasteczek lub nie są one wysyłane razem z zapytaniami).

Zawartość raportu



#
Raportując o luce w bezpieczeństwie, należy podać:
  • Dokładny opis luki, w tym możliwości jej wykorzystania i efekt.
  • Każdy krok niezbędny do przywrócenia możliwości wykorzystania luki.
  • Dotknięte adresy URL, aplikacje (nawet jeżeli podałeś fragment kodu lub video).
  • Adresy IP użyte wykonując badanie.
  • Zawsze podaj ID użytkownika, z którego korzystasz POC.
  • Zawsze załącz wszystkie pliki, które próbowałeś przesłać.
  • Podaj pełny PoC.
  • Zapisz wszystkie dzienniki ataków i załącz je do raportu.

Jeżeli do raportu nie zostanie załączony którykolwiek z wymienionych elementów, wypłata wynagrodzenia może być nie przyznana lub opóźniona.
Powiadom nas o lukach poprzez e-mail [email protected].


UWAGA: nie możemy wypłacić wynagrodzenia dla osób lub obywateli krajów, na które są nałożone sankcje (Kuba, Iran, Korea Północna, Sudan, Syria). Ponosisz odpowiedzialność za wszystkie nałogi, pobierane w zależności od Twojego państwa i obywatelstwa. Według ustawodawstwa Twojego kraju, mogą wyniknąć dodatkowe ograniczenia, z powodu których nie będziesz mógł wziąć udziału w programie.
To nie jest konkurs, ale eksperymentalny i uznaniowy program premiowy. Proszę pamiętać, że program może być zawieszony w dowolnym czasie.

Najczęściej zadawane pytania



Co mam robić jeżeli znalazłem lukę, ale nie wiem jak ją wykorzystać?
Uważamy, że sprawdzanie luk jest ważnym krokiem badania luki i mamy nadzieję, że otrzymane przez nas raporty o lukach będą zawierały uzasadniony scenariusz ataku i będziesz mógł ubiegać się o wynagrodzenie. Wielkość wynagrodzenia jest ustalana na podstawie efektu luki. Komisja jest gotowa ponownie rozważyć kwotę wynagrodzenia po otrzymaniu informacji o możliwej ważności efektu (np. łańcuch błędów albo ulepszony scenariusz ataku).
Jak mogę pokazać ważność luki, jeżeli nie mam prawa nie przestrzegać zasad?
Jeżeli zauważyłeś potencjalne zagrożenie dla bezpieczeństwa, prosimy o niezwłoczne powiadomienie. Komisja oceni największy możliwy efekt luki i ustali odpowiednią kwotę wynagrodzenia. Zawsze płacimy większe wynagrodzenia za dobrze napisane i korzystne raporty, gdy badacz nie zauważył lub nie docenił efektu pewnej luki.