Paysera

Programi i Shpërblimeve për Gjetjen e Gabimeve

Ekipi ynë i zhvilluesve punon vazhdimisht për të mbajtur të sigurt informacionin e klientëve. Në të njëjtën kohë, ne e kuptojmë rolin e rëndësishëm që luajnë studiuesit e sigurisë dhe komuniteti ynë i përdoruesve në ndihmën për të mbrojtur të dhënat e klientëve. Nëse zbuloni një gabim në faqen e internetit ose në produkt, ju lutemi na njoftoni duke ndjekur udhëzimet më poshtë.
#

Programi i Shpërblimeve për Gjetjen e Gabimeve

Termat dhe kushtet e programit

Ju lutemi kini parasysh se pjesëmarrja juaj në Programin e Shpërblimeve për Gjetjen e Gabimeve është vullnetare dhe i nënshtrohet kushteve dhe termave të përcaktuara në këtë faqe. Duke paraqitur një gabim të faqes së internetit ose produktit të Paysera, ju pranoni se keni lexuar dhe jeni dakord me termat dhe kushtet e këtij Programi.
Këto terma dhe kushte të Programit plotësojnë kushtet e çdo marrëveshjeje tjetër që keni lidhur me Paysera. Në rast të ndonjë mospërputhjeje midis kushteve të Marrëveshjeve të Paysera dhe këtyre termave dh ekushteve të Programit, këto të fundit do të kenë përparësi vetëm në lidhje me Programin e Shpërblimeve për Gjetjen e Gabimeve.

Udhëzime për raportimin e çështjeve të sigurisë

Nëse mendoni se keni gjetur një gabim sigurie në Paysera, ju lutemi na raportoni nëpërmjet emailit [email protected]. Ju lutemi përfshini hapat e detajuar për të riprodhuar problemin dhe një përshkrim të shkurtër të ndikimit të mundshëm të tij. Ne inkurajojmë raportimin e përgjegjshëm (siç përshkruhet më poshtë) dhe angazhohemi të hetojmë të gjitha raportimet legjitime në kohë, duke adresuar çdo problem të konfirmuar sa më shpejt të jetë e mundur.

Shërbimet që përfshihen

Çdo shërbim i Paysera që përpunon të dhëna të ndjeshme të përdoruesve konsiderohet i përfshirë në këtë program. Kjo përfshin, por nuk kufizohet vetëm te, pothuajse e gjithë përmbajtja nën domainet e mëposhtme: *.paysera.com.

Politika e raportimit të përgjegjshëm

Siguria e fondeve, të dhënave dhe komunikimeve të përdoruesve është një përparësi kryesore te Paysera. Për të inkurajuar raportimin e përgjegjshëm, ne nuk do të ndërmarrim veprime ligjore kundër studiuesve që identifikojnë gabime, me kusht që ata t’u përmbahen parimeve të raportimit të përgjegjshëm, të cilat përfshijnë, por nuk kufizohen vetëm te, sa vijon:

 

 Akseso, zbulo ose modifiko vetëm të dhënat e klientit tënd.

 Mos kryej asnjë veprim që mund të dëmtojë besueshmërinë ose integritetin e shërbimeve apo të dhënave tona.

 Shmang përdorimin e teknikave të skanimit që mund të shkaktojnë ulje të cilësisë së shërbimit për klientët e tjerë (DoS, spamim).

 Mbaji gjithmonë detajet e gabimeve të fshehta derisa Paysera të njoftohet dhe të ketë rregulluar problemin.

 Mos u përpiq të marrësh akses në llogarinë ose të dhënat e një përdoruesi tjetër.

 

Gjatë kërkimit të gabimeve në faqen e internetit të Paysera, është rreptësisht e ndaluar të:

 

 Kryeni veprime që mund të ndërpresin ose të ndikojnë në funksionimin e sistemeve të Paysera;

 Përpiqeni të merrni në mënyrë të paligjshme akses, të kopjoni, shpërndani ose shkatërroni të dhënat e Paysera ose të klientëve të saj, qoftë vetë apo përmes palëve të treta;

 Dëmtoni klientët e Paysera, duke përfshirë ndërprerjen e ofrimit të shërbimeve, përdorimin e metodave të inxhinierisë sociale, ose dërgimin e mesazheve të padëshiruara.

 

Nëse nuk i respektoni këto parime, Paysera mund të kufizojë llogarinë tuaj, të bllokojë adresën tuaj IP dhe të ndërmarrë veprime të tjera ligjore.
Ju ftojmë të bashkëpunoni me zhvilluesit e Paysera për të riprodhuar, diagnostikuar dhe rregulluar problemin. Ne përdorim udhëzimet e mëposhtme për të përcaktuar pranueshmërinë e kërkesave dhe shumën e shpërblimit.
#
#

Përshtatshmëria

Një person nuk është i përshtatshëm për të marrë pjesë në Programin e Shpërblimeve për Gjetjen e Gabimeve nëse ai/ajo:

 

 Kanë shkelur ndonjë ligj kombëtar ose lokal;

 Janë anëtarë të afërt të familjes së një punonjësi të Paysera, degëve apo filialeve të saj;

 Janë nën moshën 14 vjeç. Nëse jeni të paktën 14 vjeç, por konsideroheni i mitur në vendin tuaj të banimit, duhet të merrni një leje të nënshkruar nga prindërit ose kujdestarët ligjorë përpara se të merrni pjesë në Program.
 

Nëse Paysera zbulon se ju nuk i plotësoni ndonjë nga kriteret e mësipërme, Paysera do t’ju largojë nga Programi i Shpërblimeve për Gjetjen e Gabimeve dhe do t’ju skualifikojë nga marrja e çdo shpërblimi.

Shuma e shpërblimit

Shpërblimet jepen në bazë të rëndësisë së cenueshmërisë së sigurisë. Sa më e rëndësishme të jetë cenueshmëria, aq më i lartë është shpërblimi për raportimin e saj. Cenueshmëritë që mund të çojnë në humbje financiare ose kompromentim të sigurisë së të dhënave konsiderohen veçanërisht kritike.

Një shpërblim më i vogël jepet për cenueshmëritë që nuk shkaktojnë rezultatet e mëposhtme:

 Humbje e pjesshme/të plotë të fondeve;

 Zbulim i të dhënave të përdoruesit;

 Komprometim i integritetit të transmetimit të të dhënave.

 Në të gjitha rastet, mbani informacionin rreth cenueshmërive të sistemit konfidencial derisa Paysera të jetë njoftuar dhe problemi të jetë zgjidhur.

 Mos u përpiqni të merrni akses në llogarinë ose të dhënat e një përdoruesi tjetër.

 

Për të qenë i përshtatshëm për një shpërblim, një cenueshmëri sigurie duhet të plotësojë kriteret e mëposhtme:

 Duhet të jetë origjinale dhe e parareportuar;

 Të tregojë një cenueshmëri të sistemit nga distanca, potencial për rritje të privilegjeve, ose rrezik për zbulim të informacionit konfidencial.

 

Nëse disa persona raportojnë të njëjtën cenueshmëri sigurie në të njëjtën kohë, shpërblimi do të ndahet proporcionalisht mes tyre.
Një shpërblim më i lartë mund të jepet në rastet e mëposhtme:

 Kërkuesi mund të demonstrojë klasa të reja sulmesh ose teknika për të anashkaluar veçoritë e sigurisë. Ose, nëse një cenueshmëri ekzistuese mund të tregohet se është e shfrytëzueshme përmes kërkimeve shtesë nga raportuesi, mund të fitohet kompensim shtesë për të njëjtin gabim.

 Kërkimi mund të zbulojë gjithashtu fusha problemesh jashtëzakonisht të rënda, komplekse ose interesante që më parë nuk ishin raportuar ose ishin të panjohura.


Nëse një raport i plotëson të gjitha kërkesat e Programit, pagesat e shpërblimit do të përcaktohen nga Paysera, sipas gjykimit të saj të vetëm. Në asnjë rast Paysera nuk është e detyruar të paguajë një shpërblim për raportet që bien jashtë fushës së Programit të Shpërblimeve për Gjetjen e Gabimeve. Të gjitha pagesat e shpërblimit mund të bëhen vetëm në euro në një llogari të identifikuar Paysera. Shpërblimi mund të transferohet gjithashtu te organizatat Greenpeace, Kryqi i Kuq ose Caritas me kërkesë të kërkuesit. Pagesat përmes kriptomonedhave ose sistemeve të tjera të pagesave që nuk përmenden në këtë faqe nuk mbështeten.

Gjatë përcaktimit të shumës së shpërblimit, Paysera vlerëson rrezikun që paraqet cenueshmëria e sigurisë dhe ndikimin e mundshëm që ajo mund të ketë.
#

Shembuj të cenueshmërive

Shembuj të cenueshmërive që kualifikohen

Paysera rezervon të drejtën të vendosë nëse është përmbushur pragu minimal i rëndësisë së cenueshmërisë dhe nëse ajo është raportuar më parë.

  • Anashkalim i autentikimit ose rritje e privilegjeve.

  • „Clickjacking (kur një përdorues mashtrohet të klikojë mbi elementë të fshehur ose të maskuar të një faqeje interneti).

  • „Cross-site scripting (XSS) (një cenueshmëri që lejon injektimin e kodit shtesë në një faqe interneti të shikuar nga përdoruesit).

  • Cross-site request forgery (CSRF/XSRF)

  • Skripte me përmbajtje të përzier

  • Ekzekutim i kodit në anën e serverit

  • Zbulim i të dhënave të përdoruesit

  • Ekzekutim i kodit nga distanca

Shembuj të cenueshmërive që nuk kualifikohen

Raportimi i cenueshmërive të mëposhtme vlerësohet, por nuk do të çojë në shpërblim sistematik nga Paysera:

  • Cenueshmëri Denial of Service (DoS) ose çështje të lidhura me kufizimin e shpejtësisë (rate-limiting).

  • Mundësia për të dërguar lidhje të dëmshme te persona që njihni.

  • Bugs të sigurisë në faqet e internetit të palëve të treta që integrohen me Paysera API.

  • Cenueshmëri të lidhura me softuerë të palëve të treta (p.sh. Java, shtojca, zgjerime) ose faqe interneti, përveç rasteve kur ato çojnë në cenueshmëri në faqen e Paysera.

  • Spam (duke përfshirë çështje të lidhura me SPF/DKIM/DMARC).

  • Çështje të përdorshmërisë, plotësimi automatik i formave.

  • Cilësime të pasigurta në cookies që nuk janë të ndjeshme.

  • Cenueshmëri në cache-in e shfletuesit.

  • Cenueshmëri (përfshirë XSS) që kërkojnë që viktima e mundshme të instalojë softuer jo-standard ose të ndërmarrë hapa shumë të pamundshëm për t’u bërë e prekshme.

  • Sulme jo-teknike si inxhinieria sociale, phishing, ose sulme fizike kundër punonjësve, përdoruesve ose infrastrukturës sonë.

  • Cenueshmëri (përfshirë XSS) që prekin vetëm shfletues ose shtojca të vjetra.

  • „Self-XSS (kur një përdorues instalon aksidentalisht kod të dëmshëm në faqen e tij të internetit).

  • CSRF për veprime jo të rëndësishme (siç është dalja nga llogaria, etj.).

  • „Sulme clickjacking pa një seri të dokumentuar klikimesh që prodhojnë një cenueshmëri.

  • Injeksion përmbajtjeje, siç është reflektimi i tekstit ose i etiketave HTML.

  • Mungesa e header-ave HTTP, përveç rasteve kur mungesa e tyre nuk arrin të parandalojë një sulm ekzistues.

  • Anashkalime të autentikimit që kërkojnë akses në softuer/hardware.

  • Cenueshmëri që kërkojnë akses në fjalëkalime, token-e ose në sistemin lokal (p.sh. fiksimi i sesionit).

  • Cenueshmëri të supozuara vetëm në bazë të numrave të versionit.

  • Bugs që kërkojnë ndërveprim jashtëzakonisht të pamundur nga përdoruesi.

  • Zbulim i informacionit publik dhe informacionit që nuk paraqet rrezik të rëndësishëm.

  • Skriptim ose automatizim tjetër dhe përdorim force brute të funksionaliteteve të qëllimshme.

  • Kërkesa që shkelin politikën same-origin pa një skenar konkret sulmi (për shembull, kur përdoret CORS dhe cookies nuk përdoren për autentikim ose nuk dërgohen me kërkesat).

#

Informacion i kërkuar

Kur ngarkoni informacion në lidhje me një cenueshmëri sigurie, ju lutemi dërgoni:

 

 Përshkrim të plotë të cenueshmërisë që po raportohet, duke përfshirë shfrytëzueshmërinë dhe ndikimin.

 Dokumentoni të gjitha hapat e nevojshëm për të riprodhuar shfrytëzimin e cenueshmërisë.

 URL-të/aplikacionet e prekura (edhe nëse na keni dërguar një fragment kodi/video gjithashtu).

 IP-të që janë përdorur gjatë testimit.

 Përfshini gjithmonë ID-në e përdoruesit që është përdorur për POC-në.

 Përfshini gjthmonë të gjitha skedarët që keni tentuar të ngarkoni.

 Dërgoni POC-në e plotë.

 Ju lutemi ruani të gjitha regjistrat e sulmit dhe bashkëngjitini ato në raport.


Mospërfshirja e ndonjë prej elementeve të kërkuara mund të rezultojë në mbajtjen ose vonesën e pagesës së shpërblimit.
Raportoni çdo cenueshmëri tek ne nëpërmjet emailit [email protected].
#

Shënim!

Shpërblimet nuk mund t’u jepen individëve të sanksionuar ose shtetasve të vendeve në listën e sanksioneve (Kuba, Irani, Koreja e Veriut, Sudani, Siria). Ju jeni përgjegjës për çdo taksë që mund të aplikohet bazuar në vendin tuaj të banimit dhe shtetësisë. Ligjet lokale mund të vendosin kufizime shtesë që mund t’ju pengojnë të merrni pjesë në Program.

 

Ky Program nuk është një konkurs, por një nismë eksperimentale dhe diskrecionare për shpërblime. Ju lutemi vini re se Paysera mund ta përfundojë Programin në çdo kohë.

Pyetjet më të shpeshta

Ne e konsiderojmë testimin e cenueshmërisë një pjesë thelbësore të kërkimit në fushën e sigurisë dhe presim që raportet e dorëzuara të përfshijnë një skenar të besueshëm sulmi, në mënyrë që të merren parasysh për shpërblim. Shuma e shpërblimit përcaktohet nga ndikimi maksimal i mundshëm i cenueshmërisë. Paneli i vlerësimit mund të rishikojë shpërblimin nëse dalin informacione të reja që rrisin ndjeshëm ndikimin e vlerësuar (si për shembull një zinxhir gabimesh, ose një skenar i rishikuar sulmi).
Ju lutemi dorëzoni raportin tuaj sapo të keni zbuluar një problem të mundshëm sigurie. Paneli do të marrë parasysh ndikimin maksimal dhe do të zgjedhë shpërblimin në përputhje me këtë. Ne zakonisht japim shpërblime më të larta për raportet që janë të shkruara mirë dhe të dobishme, edhe nëse raportuesi nuk ka vënë re ose nuk ka mundur të analizojë plotësisht ndikimin e një cenueshmërie të caktuar.
Become a follower