Paysera

Drošības kļūdu ziņošanas programma

Mūsu komanda nepārtraukti strādā, lai uzturētu klientu informācijas drošību. Vienlaikus mēs saprotam drošības jomas pētnieku un mūsu lietotāju kopienas svarīgo lomu klientu datu drošībā. Ja atklājat mūsu vietnes vai produkta ievainojamību, lūdzu, informējiet mūs, izmantojot tālāk sniegtos norādījumus.
#

Drošības kļūdu ziņošanas programma

Programmas noteikumi

Lūdzu ņemt vērā, ka jūsu dalība Drošības kļūdu ziņošanas programmā ir brīvprātīga un pakļauta šajā lapā izklāstītajiem noteikumiem. Informējot Paysera par vietnes vai produktu ievainojamību, jūs apliecināt, ka esat izlasījis un piekrītat šīs Programmas noteikumiem.
Šīs Programmas noteikumi papildina jebkuru citu līgumu, kuru esat noslēdzis ar Paysera. Ja pastāv pretrunas starp Paysera līgumiem un šīs Programmas noteikumiem, šie noteikumi tiek uzskatīti par primāriem, bet tikai attiecībā uz Drošības kļūdu ziņošanas programmu.

Vadlīnijas ziņošanai par drošības jautājumiem

Ja domājat, ka esat atradis Paysera drošības ievainojamību, lūdzu, ziņojiet mums pa e-pastu [email protected]. Lūdzu, iekļaujiet ziņojumā visus nepieciešamos soļus, kas jāveic, lai atkārtotu kļūdu un īsu aprakstu par to, kāda ir tās ietekme. Mēs atbalstām atbildīgu informācijas izpaušanu (kā norādīts tālāk), un mēs apsolām savlaicīgi izpētīt visus pamatotos ziņojumus un pēc iespējas ātrāk novērst visas kļūdas.

Attiecināmie pakalpojumi

Programma attiecas uz jebkuru Paysera pakalpojumu, kas apstrādā pietiekami sensitīvus lietotāju datus. Tas ietver, bet ne tikai, praktiski visu saturu šādos domēnos: *.paysera.com

Atbildīga informācijas atklāšanas politika

Lietotāju naudas līdzekļu, datu un saziņas drošība Paysera ir ļoti svarīga. Lai veicinātu atbildīgu informācijas izpaušanu, mēs neuzsāksim tiesvedību pret pētniekiem, kuri norāda uz problēmu, ja tie ievēro atbildīgas informācijas publiskošanas principus, kas ietver (bet ne tikai) sekojošo:

 

 Piekļūt, rādīt vai izmainīt tikai savus lietotāja datus.

 Neveikt nekādas darbības, kas varētu kaitēt mūsu pakalpojumu uzticamībai vai datu integritātei.

 Izvairīties no skenēšanas paņēmieniem, kas var izraisīt pakalpojuma pieejamības samazināšanos citiem klientiem (DoS, surogātpasts).

 Informāciju par ievainojamību vienmēr saglabāt slepenībā, līdz par to tiek paziņots Paysera un kļūda tiek izlabota.

 Nemēģināt piekļūt citu lietotāju kontiem vai datiem.

 

Paysera vietņu ievainojamības izpētē ir stingri aizliegts:

 

 veikt darbības, kas varētu traucēt vai ietekmēt Paysera sistēmu darbību;

 mēģināt nelikumīgi piekļūt, kopēt, izplatīt vai iznīcināt Paysera vai tās klientu datus gan patstāvīgi, gan ar trešo personu starpniecību;

 kaitēt Paysera klientiem, tostarp traucēt pakalpojumu sniegšanu, izmantot sociālās inženierijas metodes vai sūtīt nevēlamus ziņojumus.

 

Ja jūs neievērosiet šos principus, Paysera var ierobežot jūsu kontu, bloķēt jūsu IP adresi un veikt citas juridiskas darbības.
Mēs aicinām jūs sadarboties ar Paysera komandu, lai reproducētu, diagnosticētu un novērstu problēmu. Lai noteiktu pieprasījumu atbilstību un atlīdzības apmēru, mēs izmantojam šādas pamatnostādnes.
#
#

Atbilstība

Persona nav tiesīga piedalīties Drošības kļūdu ziņošanas programmā, ja tā:

 

 ir pārkāpusi jebkādus valsts vai vietējos likumus;

 ir Paysera, tās meitasuzņēmumu vai filiāļu darbinieka tuvs ģimenes loceklis;

 ir jaunāka par 14 gadiem. Ja jums ir vismaz 14 gadi, bet jūs savā dzīvesvietā tiekat uzskatīts par nepilngadīgu, pirms dalības programmā jums ir jāsaņem vecāku vai likumīgo aizbildņu parakstīta atļauja.
 

Konstatējot jebkuru iepriekš minēto noteikumu neievērošanu, Paysera ir tiesības jūs izslēgt no Drošības kļūdu ziņošanas programmas un atsaukt atlīdzības izmaksu.

Atlīdzības apjoms

Atlīdzības tiek piešķirtas, pamatojoties uz drošības ievainojamības nopietnību. Jo nozīmīgāka ir ievainojamība, jo lielāka ir atlīdzība par tās ziņošanu. Ievainojamības, kas varētu radīt finansiālus zaudējumus vai apdraudēt datu drošību, tiek uzskatītas par īpaši būtiskām.

Mazāka atlīdzība tiek piešķirta par ievainojamībām, kas neizraisa šādus rezultātus:

 daļējs/pilnīgs līdzekļu zaudējums;

 lietotāja datu noplūde;

 datu pārraides integritātes apdraudēšana.

 Visos gadījumos saglabājiet informāciju par sistēmas ievainojamībām konfidenciālu, līdz Paysera ir informēta un problēma ir atrisināta.

 Nemēģiniet iegūt piekļuvi cita lietotāja kontam vai datiem.

 

Lai varētu saņemt atlīdzību, drošības ievainojamībai ir jāatbilst šādiem kritērijiem:

 jābūt oriģinālai un iepriekš neziņotai;

 jādemonstrē attālās sistēmas ievainojamību, iespēju palielināt privilēģijas vai risku atklāt konfidenciālu informāciju.

 

Ja vairākas personas vienlaikus ziņo par vienu un to pašu drošības ievainojamību, atlīdzība tiks proporcionāli sadalīta.
Lielāku atlīdzību var piešķirt šādos gadījumos:

 atklājējs var demonstrēt jaunas uzbrukumu klases vai metodes drošības funkciju apiešanai. Vai arī, ja ziņotājs var pierādīt, ka esošā ievainojamība ir izmantojama, veicot papildu izpēti, par to pašu kļūdu var nopelnīt papildu kompensāciju;

 pētījumi varētu arī atklāt ārkārtīgi nopietnas, sarežģītas vai interesantas problēmu jomas, par kurām iepriekš netika ziņots vai kuras nebija zināmas.


Ja ziņojums atbilst visām Programmas prasībām, Paysera pēc saviem ieskatiem noteiks atlīdzības maksājumus. Nekādā gadījumā Paysera nav pienākums maksāt atlīdzību par ziņojumiem, kas neietilpst kļūdu ziņošanas programmas darbības jomā. Visus atlīdzības maksājumus var veikt tikai eiro valūtā uz identificētu Paysera kontu. Pēc atklājēja pieprasījuma atlīdzību var pārskaitīt arī Greenpeace, Sarkanā Krusta vai Caritas organizācijām. Maksājumi, izmantojot kriptovalūtu vai citas maksājumu sistēmas, kas nav minētas šajā lapā, netiek atbalstīti.

Nosakot atlīdzības apmēru, Paysera izvērtē drošības ievainojamības radīto risku un tās iespējamo ietekmi.
#

Ievainojamību piemēri

Atbilstošu ievainojamību piemēri

Paysera patur tiesības izlemt, vai ir izpildīts minimālais smaguma pakāpes kvalifikācijas slieksnis un vai par to jau ir ticis paziņots.

  • Autentifikācijas apiešana vai privilēģiju eskalācija

  • Clickjacking (kad lietotājs tiek maldināts, lai uzklikšķinātu uz slēptiem vai maskētiem vietnes elementiem)

  • Cross-site scripting (XSS) (ievainojamība, kas ļauj ievadīt papildu kodu lietotāju skatītajā vietnē)

  • Cross-site pieprasījumu viltošana (CSRF/XSRF)

  • Jaukta satura skripti

  • Servera puses koda izpilde

  • Lietotāju datu noplūde

  • Attālā koda izpilde

Neatbilstošu ievainojamību piemēri

Ziņošana par zemāk norādītajām ievainojamībām tiks novērtēta, taču tai nesekos sistemātiska Paysera atlīdzība:

  • Pakalpojuma atteikuma (DoS) ievainojamība vai problēmas, kas saistītas ar ātruma ierobežošanu

  • Iespējas nosūtīt ļaunprātīgas saites jums zināmām personām

  • Drošības kļūdas trešo pušu tīmekļa vietnēs, kas integrētas ar Paysera API

  • Ievainojamības, kas saistītas ar trešo pušu programmatūru (piemēram, Java, spraudņiem, paplašinājumiem) vai vietni, ja vien tās nerada ievainojamību Paysera vietnē

  • Surogātpasts (tostarp problēmas, kas saistītas ar SPF/DKIM/DMARC)

  • Lietojamības problēmas, veidlapu automātiskā aizpildīšana

  • Nedroši iestatījumi nekonfidenciālās sīkdatnēs

  • Pārlūkprogrammas kešatmiņas ievainojamības

  • Ievainojamības (tostarp XSS), kuru dēļ potenciālajam upurim ir jāinstalē nestandarta programmatūra vai jāveic ļoti maz ticamas aktīvas darbības, lai padarītu sevi neaizsargātu

  • Netehniski uzbrukumi, piemēram, sociālā inženierija, pikšķerēšana vai fiziski uzbrukumi mūsu darbiniekiem, lietotājiem vai infrastruktūrai

  • Ievainojamības (tostarp XSS), kas ietekmē tikai vecākas versijas pārlūkprogrammas/spraudņus

  • „Self-XSS (kad lietotājs nejauši instalē ļaunprātīgu kodu savā tīmekļa vietnē)

  • CSRF nebūtiskām darbībām (izrakstīšanās utt.).

  • „Klikšķu zādzības (angl. clickjacking) uzbrukumi bez dokumentētas klikšķu sērijas, kas rada ievainojamību

  • Satura ievadīšana, piemēram, atspoguļots teksts vai HTML tagi

  • Trūkstošas HTTP galvenes, izņemot gadījumus, kad to trūkums nemazina esoša uzbrukuma ietekmi

  • Autentifikācijas apiešanas veidi, kuriem nepieciešama piekļuve programmatūrai/aparatūrai

  • Ievainojamības, kurām nepieciešama piekļuve parolēm, tokeniem vai vietējai sistēmai (piemēram, sesijas fiksācija)

  • Pieņemtās ievainojamības, pamatojoties tikai uz versiju numuriem

  • Kļūdas, kas prasa ārkārtīgi maz ticamu lietotāja mijiedarbību

  • Publiskas informācijas un informācijas, kas nerada būtisku risku, izpaušana

  • Skriptēšana vai cita automatizācija un paredzētās funkcionalitātes rupja forsēšana

  • Pieprasījumi, kas pārkāpj vienas izcelsmes politiku bez konkrēta uzbrukuma scenārija (piemēram, izmantojot CORS, un sīkdatnes netiek izmantotas autentifikācijas veikšanai vai tās netiek nosūtītas kopā ar pieprasījumiem)

#

Nepieciešamā informācija

Iesniedzot informāciju par drošības ievainojamību, lūdzu, norādiet/iekļaujiet:

 

 pilnu ziņotās ievainojamības aprakstu, tostarp izmantojamību un ietekmi;

 visas darbības, kas nepieciešamas, lai reproducētu ievainojamības izmantošanu;

 skartās URL/lietotnes (pat ja iesniedzāt mums arī koda fragmentu/video);

 IP adreses, kas tika izmantotas testēšanas laikā;

 lietotāja ID, kas tiek izmantots POC;

 visus failus, kurus mēģinājāt augšupielādēt;

 pilnīgu POC.

 visus uzbrukumu žurnālus un pievienojiet tos ziņojumam.


Ja kāds no nepieciešamajiem elementiem nav iekļauts, atlīdzības izmaksa var tikt aizkavēta vai atlikta.
Par jebkādām ievainojamībām ziņojums mums pa e-pastu [email protected].
#

Ievērībai!!

Atlīdzības nevar piešķirt personām, kurām piemērotas sankcijas, vai sankciju sarakstā iekļauto valstu (Kuba, Irāna, Ziemeļkoreja, Sudāna, Sīrija) pilsoņiem. Jūs esat atbildīgs par visiem nodokļiem, kas piemērojami jūsu dzīvesvietas valstī un pilsonībā. Vietējie likumi var noteikt papildu ierobežojumus, kas varētu liegt jums piedalīties Programmā.

 

Šī programma nav konkurss, bet gan eksperimentāla un brīvprātīga atlīdzības iniciatīva. Lūdzu ņemt vērā, ka Paysera var jebkurā brīdī programmu pārtraukt.

Biežāk uzdotie jautājumi

Mēs uzskatām, ka ievainojamības testēšana ir būtiska drošības pētījumu sastāvdaļa un sagaidām, ka iesniegtajos ziņojumos būs iekļauts ticams uzbrukuma scenārijs, lai tos varētu izskatīt atlīdzības saņemšanai. Atlīdzības apmēru nosaka ievainojamības maksimālā potenciālā ietekme. Komisija var pārskatīt atlīdzību, ja parādās jauna informācija, kas būtiski palielina novērtēto ietekmi (piemēram, kļūdu ķēde vai pārskatīts uzbrukuma scenārijs).
Lūdzu, iesniedziet savu ziņojumu, tiklīdz esat atklājis potenciālu drošības problēmu. Komisija ņems vērā maksimālo ietekmi un attiecīgi izvēlēsies atlīdzību. Mēs regulāri maksājam lielākas atlīdzības par citādi labi uzrakstītiem un noderīgiem ziņojumiem, kuros ziņotājs nav pamanījis vai nav varējis pilnībā analizēt konkrētas nepilnības ietekmi.
Become a follower