Teavitamine turvaaukudest

Meie arendajate meeskond töötab pidevalt selle nimel, et tagada klientide andmete turvalisus. Samal ajal mõistame turva-uurijate ja meie kasutajate kogukonna olulist rolli klientide andmete turvalisuse tagamisel. Kui avastate veebisaidi või toote haavatavuse, teavitage meid, järgides allpool toodud juhiseid.

Teavitamine turvaaukudest

Programmi tingimused

Pange tähele, et teie osalemine vigade teatamise programmis on vabatahtlik ja sellele kehtivad sellel lehel sätestatud tingimused. Veebisaidi või toote haavatavuse kohta Payserale teate esitades kinnitate, et olete selle programmi tingimused läbi lugenud ja nendega nõustunud.
Käesolevad programmi tingimused täiendavad mis tahes muu Payseraga sõlmitud lepingu tingimusi. Paysera lepingute ja käesolevate programmi tingimuste vastuolu on selle programmi tingimused ülimuslikud, kuid ainult turvaaukudest teatamise programmi osas.

Turvavigadest teatamise juhised

Kui arvate, et olete leidnud haavatavuse Paysera turvasüsteemist, teatage sellest meile e-posti teel aadressil [email protected]. Palun lisage üksikasjalikud sammud probleemi taasesitamiseks ja lühike kirjeldus selle võimalikust mõjust. Julgustame vastutustundlikku avalikustamist (nagu allpool kirjeldatud) ja kohustume kõiki õigustatud teateid viivitamatult uurima, käsitledes kõiki kinnitatud probleeme nii kiiresti kui võimalik.

Ulatusse kuuluvad teenused

Kõik Paysera teenused, mis töötlevad mõistlikult tundlikke kasutajaandmeid, kuuluvad selle ulatusse. See hõlmab muu hulgas praktiliselt kogu sisu järgmistes domeenides: *.paysera.com.

Vastutustundliku avalikustamise poliitika

Kasutajate raha, andmete ja kommunikatsiooni turvalisus on Paysera jaoks esmatähtis. Vastutustundliku avalikustamise soodustamiseks ei võta me haavatavusi tuvastavate uurijate vastu õiguslikke meetmeid, eeldusel, et nad järgivad vastutustundliku avalikustamise põhimõtteid, mis hõlmavad muu hulgas järgmist:

Pääsete ligi, avalikustate ja muudate ainult oma kliendiandmeid.

Ei soorita rünnakuid, mis võivad kahjustada meie teenuste või andmete usaldusväärsust või terviklikkust.

Väldite skannimistehnikaid, mis võivad teistele klientidele teenust halvendada (teenuse tõkestamine (Dos), spämmimine).

Hoiate haavatavuste üksikasju alati saladuses, kuni Payserat on neist teavitatud ja probleem on lahendatud.

Ei proovi pääseda ligi teise kasutaja kontole ega andmetele.

Paysera veebisaidi haavatavuste uurimisel on rangelt keelatud:

Teha toiminguid, mis võivad Paysera süsteemide tööd häirida või mõjutada;

Proovida Paysera või tema klientide andmetele ebaseaduslikult juurde pääseda, neid kopeerida, levitada või hävitada, kas iseseisvalt või kolmandate isikute kaudu;

Tekitada kahju Paysera klientidele, sealhulgas teenuse osutamise häirimise, sotsiaalse manipuleerimise meetodite kasutamise või soovimatute sõnumite saatmise teel.

Kui te neid põhimõtteid ei järgi, võib Paysera teie kontot piirata, teie IP-aadressi blokeerida ja võtta muid õiguslikke meetmeid.
Kutsume teid üles tegema Paysera arendajatega koostööd probleemi taasesitamisel, diagnoosimisel ja lahendamisel. Taotluste abikõlblikkuse ja tasu suuruse määramiseks kasutame järgmisi juhiseid.

Sobivus

Isik ei ole kõlblik turvaaukude teavitusprogrammis osalema, kui ta:

On rikkunud mis tahes riiklikke või kohalikke seadusi;

On Paysera, selle tütarettevõtete või filiaalide töötaja lähisugulane;

On alla 14-aastane. Kui olete vähemalt 14-aastane, kuid teid peetakse teie elukohajärgses õiguses alaealiseks, peate enne programmis osalemist saama oma vanemate või seaduslike eestkostjate allkirjastatud loa.

Kui Paysera avastab, et te ei vasta ühele ülaltoodud kriteeriumitest, eemaldab Paysera teid turvaaukude teavitusprogrammist ja diskvalifitseerib teid mis tahes tasude saamisest.

Tasu suurus

Tasu antakse turvaaugu tõsiduse alusel. Mida suurem on haavatavus, seda suurem on selle teatamise eest makstav tasu. Eriti kriitilisteks peetakse haavatavusi, mis võivad põhjustada rahalist kahju või kahjustada andmete turvalisust.

Väiksem tasu antakse haavatavuste eest, mis ei põhjusta järgmisi tagajärgi:

Osaline/täielik rahaliste vahendite kaotus;

Kasutajaandmete lekkimine;

Andmeedastuse terviklikkuse rikkumine.

Kõigil juhtudel hoidke süsteemi haavatavuste kohta käivat teavet konfidentsiaalsena, kuni Payserat on sellest teavitatud ja probleem on lahendatud.

Ärge proovige pääseda ligi teise kasutaja kontole või andmetele.

Tasu saamiseks peab turvanõrkus vastama järgmistele kriteeriumidele:

Peab olema esmane ja varem avaldamata;

Näitama kaugsüsteemi haavatavust, õiguste laiendamise võimalust või konfidentsiaalse teabe avalikustamise ohtu.

Kui mitu inimest teatavad samast turvaaugust korraga, tasu preemia nende vahel proportsionaalselt.
Suurem tasu võidakse anda järgmistel juhtudel:

Uurija demonstreerib uusi rünnakuklasse või turvaelementide möödahiilimise tehnikaid. Või kui teavitaga saab täiendava uurimise abil tõestada, et olemasolev haavatavus on ärakasutatav, saab sama vea eest teenida lisahüvitist.

Uuringud võivad paljastada ka äärmiselt tõsiseid, keerulisi või huvitavaid probleemseid valdkondi, millest varem ei teatatud või mis olid tundmatud.

Kui teade vastab kõigile programmi nõuetele, määrab Paysera oma äranägemisel tasu. Paysera ei ole mingil juhul kohustatud maksma tasu teadete eest, mis jäävad turvaaukude teavitamise programmi ulatusest välja. Kõik tasud saab maksta ainult eurodes tuvastatud Paysera kontole. Tasu võib uurija palvel üle kanda ka Greenpeace'i, Punase Risti või Caritase organisatsioonidele. Krüptovaluuta või muude sellel lehel mainimata maksesüsteemide kaudu makseid ei toetata.

Tasu summa määramisel hindab Paysera turvanõrkuse tekitatud riski ja selle võimalikku mõju.

Haavatavuste näited

Kvalifitseeruvate haavatavuste näited

Paysera jätab endale õiguse otsustada, kas minimaalne raskusastme kvalifitseerimise lävi on täidetud ja kas sellest on juba teatatud.

Autentimise möödahiilimine või õiguste eskaleerimine.
„Klikikaaperdamine (kui kasutajat petetakse veebilehe peidetud või varjatud elementidele klõpsama).
„Saitideülene skriptimine (XSS) (haavatavus, mis võimaldab kasutajate vaadatavale veebilehele täiendava koodi sisestada)
Saitideülene võltsitud päringud (CSRF/XSRF)
Segatud sisuga skriptid
Serveripoolne koodi käivitamine
Kasutajaandmete lekkimine
Koodi kaugkäivitamine

Mittekvalifitseeruvate haavatavuste näited

Järgmistest haavatavustest teatamine on teretulnud, kuid see ei too kaasa Paysera süstemaatilist tasu:

Teenusetõkestamise (DoS) haavatavus või kiirusepiiranguga seotud probleemid.
Võimalused saata pahatahtlikke linke inimestele, keda sa tunned.
Turvaaugud kolmandate osapoolte veebisaitidel, mis on integreeritud Paysera API-ga.
Kolmandate osapoolte tarkvara (nt Java, pluginad, laiendused) või veebisaidiga seotud haavatavused, välja arvatud juhul, kui need põhjustavad Paysera veebisaidi haavatavust.
Spam (sh SPF/DKIM/DMARC-ga seotud probleemid).
Kasutatavusprobleemid, vormide automaatne täitmine.
Ebaturvalised seaded mitte-olulistes küpsistes.
Brauseri vahemälu haavatavused.
Haavatavused (sh XSS), mis nõuavad potentsiaalselt ohvrilt mittestandardse tarkvara installimist või muul viisil väga ebatõenäoliste aktiivsete sammude astumist, et end haavatavaks muuta.
Mittetehnilised rünnakud, näiteks sotsiaalne manipuleerimine, andmepüük või füüsilised rünnakud meie töötajate, kasutajate või infrastruktuuri vastu.
Haavatavused (sh XSS), mis mõjutavad ainult vanemaid brausereid/pluginasid.
„Enda-XSS (kui kasutaja installib kogemata oma veebisaidile pahatahtliku koodi).
CSRF mitteoluliste toimingute jaoks (väljalogimine jne).
„Klikikaaperdamise rünnakud ilma dokumenteeritud klikkide seeriata, mis tekitavad haavatavuse.
Sisu süstimine, näiteks peegeldav tekst või HTML-sildid.
Puuduvad HTTP päised, välja arvatud juhul, kui nende puudumine ei leevenda olemasolevat rünnakut.
Autentimise möödaviigud, mis nõuavad juurdepääsu tarkvarale/riistvarale.
Haavatavused, mis nõuavad juurdepääsu paroolidele, lubadele või kohalikule süsteemile (nt seansi fikseerimine).
Eeldatavad haavatavused, mis põhinevad ainult versiooninumbritel.
Vead, mis nõuavad äärmiselt ebatõenäolist kasutaja suhtlemist.
Avaliku teabe avalikustamine ja teabe, mis ei kujuta endast olulist ohtu.
Skriptimine või muu automatiseerimine ja kavandatud funktsionaalsuse toores sundimine.
Sama päritoluga poliitikat rikkuvad päringud ilma konkreetse rünnakustsenaariumita (näiteks CORS-i kasutamisel, kui autentimisel ei kasutata küpsiseid või neid ei saadeta päringutega kaasa).

Nõutud teave

Turvaaugu kohta teabe esitamisel palun lisage:

Haavatavuse täielik kirjeldus, sh ärakasutatavus ja mõju.

Dokumenteerige kõik haavatavuse ärakasutamiseks vajalikud sammud.

Mõjutatud URL-id/rakendused (isegi kui esitasite meile ka koodilõigu/video).

Testimisel kasutatud IP-aadressid.

Lisage alati kasutajatunnus, mida kasutatakse POC-i jaoks.

Lisage alati kõik failid, mida proovisite üles laadida.

Esitage täielik PoC.

Palun salvestage kõik rünnakulogid ja lisage need aruandele.

Nõutavate elementide esitamata jätmine võib kaasa tuua tasu maksmise kinnipidamise või edasilükkamise.
Teatage meile kõigist haavatavustest e-posti teel aadressil [email protected].

Märkus!

Tasu ei saa maksta sanktsioneeritud isikutele ega sanktsioonide nimekirjas olevate riikide (Kuuba, Iraan, Põhja-Korea, Sudaan, Süüria) kodanikele. Teie vastutate kõigi oma elukohariigi ja kodakondsuse alusel kohaldatavate maksude eest. Kohalikud seadused võivad kehtestada täiendavaid piiranguid, mis võivad takistada teil programmis osalemist.

See programm ei ole võistlus, vaid pigem eksperimentaalne ja kaalutlusõigusega preemiaprogramm. Pange tähele, et Paysera võib programmi igal ajal lõpetada.

Korduma Kippuvad Küsimused

Mida teha, kui leidsin haavatavuse, aga ei tea, kuidas seda ära kasutada?

Peame haavatavuste testimist turva-uuringute oluliseks osaks ja eeldame, et esitatud aruanded sisaldavad usutavat rünnakustsenaariumi, et neid saaks tasu maksmiseks kaaluda. Tasu suurus määratakse haavatavuse maksimaalse potentsiaalse mõju alusel. Läbivaatamispaneel võib tasu suurust muuta, kui ilmneb uut teavet, mis suurendab oluliselt hinnatud mõju (näiteks vigade ahel või muudetud rünnakustsenaarium).

Kuidas saan näidata haavatavuse tõsidust, kui mul ei ole lubatud reegleid rikkuda?

Palun esitage oma aruanne niipea, kui olete avastanud võimaliku turvaaugu. Paneel arvestab maksimaalse mõjuga ja valib vastavalt sellele tasu. Maksame tavaliselt suuremaid preemiaid muidu hästi kirjutatud ja kasulike aruannete eest, mille puhul esitaja ei märganud konkreetset viga või ei osanud selle mõju täielikult analüüsida.

Teavitamine turvaaukudest