Paysera

Інформування про вразливості безпеки

Наша команда розробників постійно працює над забезпеченням безпеки інформації клієнтів. Водночас ми розуміємо важливу роль, яку відіграють дослідники безпеки та наша спільнота користувачів у допомозі захисту даних клієнтів. Якщо Ви виявите вразливість на сайті або у продукті, будь ласка, повідомте нас, скориставшись наведеними нижче інструкціями.
#

Інформування про вразливості безпеки

Умови та положення програми

Зверніть увагу, що ваша участь у Інформування про вразливості безпеки є добровільною і регулюється умовами та положеннями, викладеними на цій сторінці. Надсилаючи інформацію про вразливість сайту або продукту до Paysera, Ви підтверджуєте, що ознайомились і погоджуєтесь з умовами цієї Програми. Ці умови та положення Програми доповнюють умови будь-яких інших угод, укладених вами з Paysera. У разі будь-якої невідповідності між умовами угод з Paysera та цими умовами Програми, останні мають пріоритет виключно щодо Інформування про вразливості безпеки.

Інструкції щодо повідомлення про проблеми безпеки

Якщо ви вважаєте, що виявили вразливість у системі безпеки Paysera, будь ласка, повідомте нам про це електронною поштою на адресу [email protected]. Просимо вас надати детальні кроки для відтворення проблеми, а також короткий опис її потенційного впливу. Ми заохочуємо відповідальне розкриття інформації (як описано нижче) та зобов’язуємося оперативно розслідувати всі обґрунтовані повідомлення та якнайшвидше усувати підтверджені проблеми.

Послуги, що підпадають під дію програми

Будь-який сервіс Paysera, який обробляє відносно конфіденційні дані користувачів, вважається в межах сфери дії. Це включає, але не обмежується, практично весь контент під наступними доменами: *.paysera.com.

Політика відповідального повідомлення про вразливості

Безпека коштів, даних та комунікацій користувачів є найвищим пріоритетом у Paysera. Для заохочення відповідального розкриття інформації ми не будемо вживати юридичних заходів проти дослідників, які виявляють вразливості, за умови, що вони дотримуються принципів відповідального розкриття, які включають, але не обмежуються, наступним:

 

 розголошуйте або змінюйте виключно свої власні клієнтські дані;

 забороняється здійснювати будь-які атаки, які можуть зашкодити надійності або цілісності наших послуг або даних;

 варто уникати методів сканування, які можуть погіршити обслуговування інших клієнтів (DoS-атаки, розсилка спаму);

 завжди тримайте інформацію про вразливості в таємниці, доки Paysera не буде повідомлена і проблема не буде виправлена;

 заборонені спроби отримати доступ до облікового запису або даним іншого користувача.

 

Під час дослідження вразливостей безпеки на сайті Paysera суворо забороняється:

 

 виконувати дії, які можуть порушити або вплинути на роботу систем Paysera;

 намагатися незаконно отримати доступ до даних, копіювати, поширювати або знищувати дані Paysera чи її клієнтів, самостійно або з допомогою третіх осіб;

 завдавати шкоди клієнтам Paysera, зокрема порушувати надання послуг, застосовувати методи соціальної інженерії або надсилати небажані повідомлення.

 

Якщо ви не дотримуватиметесь цих принципів, Paysera може обмежити доступ до вашого облікового запису, заблокувати вашу IP-адресу та вжити інших юридичних заходів.
Запрошуємо вас співпрацювати з розробниками Paysera для відтворення, діагностики та усунення проблеми. Ми використовуємо наступні рекомендації для визначення відповідності запитів та розміру винагороди.
#
#

Відповідність вимогам

Особа не має права брати участь у Інформуванні про вразливості безпеки, якщо вона:

 

 порушила будь-які національні або місцеві закони;

 є близьким родичем працівника Paysera, її дочірніх компаній або філій.;

 якщо вам менше 14 років, ви не маєте права брати участь у Програмі. Якщо вам принаймні 14 років, але ви вважаєтесь неповнолітнім за місцем проживання, перед участю у Програмі Ви повинні отримати дозвіл, підписаний вашими батьками або законними опікунами..
 

Якщо Paysera виявить, що ви не відповідаєте будь-якій із вищезазначених вимог, вона має право негайно припинити вашу участь у Програмі повідомлення про вразливості та відкликати будь-яку винагороду за повідомлену вразливість.

Розмір винагороди

Винагорода надається залежно від серйозності вразливості. Чим суттєвіша вразливість, тим вищою є винагорода за її повідомлення. Особливо критичними вважаються вразливості, які можуть призвести до фінансових втрат або компрометації безпеки даних.

Меншу винагороду надають за вразливості, які не призводять до наступних наслідків:

 часткова або повна втрата коштів;

 витік користувацьких даних;

 порушення цілісності передавання даних.

 У всіх випадках зберігайте інформацію про вразливості системи в конфіденційності до моменту, поки Paysera не буде повідомлена та проблема не буде вирішена.

 Не намагайтеся отримати доступ до облікового запису або даних іншого користувача.

 

Щоб претендувати на винагороду, вразливість безпеки має відповідати таким критеріям:

 має бути оригінальною та раніше не повідомленою;

 Має демонструвати віддалену вразливість системи, можливість підвищення привілеїв або ризик розкриття конфіденційної інформації.

 

Якщо кілька осіб одночасно повідомлять про ту саму вразливість безпеки, винагорода буде розподілена пропорційно між ними.
Вищу винагороду може бути надано у наступних випадках:

 Дослідник може продемонструвати нові класи атак або методи обходу засобів безпеки. Або, якщо існуючу вразливість можна показати як експлуатовану завдяки додатковим дослідженням доповідача, за ту саму вразливість може бути нарахована додаткова винагорода.

 Дослідження також можуть виявити вкрай серйозні, складні або цікаві проблемні ділянки, які раніше не були повідомлені або були невідомі.


Якщо звіт відповідає всім вимогам Програми, виплати винагороди визначатимуться Paysera на власний розсуд. У жодному разі Paysera не зобов’язана виплачувати винагороду за звіти, які виходять за межі Програми винагород за знайдені вразливості. Всі виплати винагород можуть здійснюватися лише в євро на ідентифікований рахунок Paysera. За бажанням дослідника винагороду можна також переказати організаціям Greenpeace, Червоному Хресту або Caritas. Платежі в криптовалюті або через інші платіжні системи, не зазначені на цій сторінці, не підтримуються..

При визначенні розміру винагороди Paysera оцінює ризик, який становить вразливість, та потенційний вплив, який вона може мати.
#

Приклади вразливостей

Приклади вразливостей, які кваліфікуються

Paysera залишає за собою право вирішувати, чи досягнуто мінімального порогу серйозності вразливості та чи було про це вже повідомлено раніше.

  • Обхід автентифікації або підвищення привілеїв.

  • „Клікджекинг (коли користувача обманом змушують клікнути по прихованих або замаскованих елементах веб‑сторінки).

  • „Міжсайтове скриптування (XSS) (вразливість, яка дозволяє вставляти додатковий код у вебсторінку, що переглядається користувачами).

  • Підробка міжсайтового запиту

  • Скрипти зі змішаним вмістом

  • Серверне виконання коду

  • Витік даних користувачів

  • Віддалене виконання коду (RCE)

Приклади невідповідних (некваліфікованих) вразливостей.

Повідомлення про наступні вразливості вітається, але не призведе до систематичного нарахування винагороди від Paysera:

  • Вразливість типу відмова в обслуговуванні (DoS) або проблеми, пов’язані з обмеженням частоти запитів (rate‑limiting).

  • Можливість надсилати шкідливі (зловмисні) посилання знайомим.

  • Вразливості безпеки на сторонніх вебсайтах, що інтегруються з Paysera API.

  • Вразливості, пов’язані зі стороннім програмним забезпеченням (наприклад, Java, плагіни, розширення) або сторонніми вебсайтами, якщо вони не призводять до вразливості на сайті Paysera.

  • Спам (включно з проблемами, пов’язаними з SPF/DKIM/DMARC).

  • Проблеми з зручністю використання, автозаповнення форм.

  • Небезпечні налаштування у некритичних кукісах.

  • Вразливості кешу браузера.

  • Вразливості (включно з XSS), для експлуатації яких потенційна жертва повинна встановити нестандартне програмне забезпечення або виконати інші малоймовірні активні дії, що роблять її вразливою.

  • Нетехнічні атаки, такі як соціальна інженерія, фішинг або фізичні напади на наших працівників, користувачів чи інфраструктуру.

  • Вразливості (включно з XSS), що впливають лише на застарілі браузери або плагіни.

  • „Само-XSS (коли користувач випадково встановлює шкідливий код на власний сайт).

  • CSRF для несуттєвих дій (вихід із системи тощо).

  • „Клікджекинг‑атаки без документованої послідовності кліків, що призводить до вразливості.

  • Впровадження контенту, наприклад відображений текст або HTML‑теги.

  • Відсутність HTTP‑заголовків, за винятком випадків, коли їхня відсутність робить неможливим пом’якшення вже наявної атаки.

  • Обходи автентифікації, що вимагають доступу до програмного або апаратного забезпечення.

  • Вразливості, для експлуатації яких потрібен доступ до паролів, токенів або локальної системи (наприклад, фіксація сесії).

  • Припущені вразливості на основі лише номерів версій.

  • Помилки, що потребують надзвичайно малоймовірної взаємодії користувача.

  • Розкриття публічної інформації та інформації, яка не становить значного ризику.

  • Скриптування або інша автоматизація та застосування методу грубої сили до призначеної функціональності.

  • Запити, що порушують політику same-origin без конкретного сценарію атаки (наприклад, при використанні CORS, коли cookie не використовуються для автентифікації або не надсилаються з запитами).

#

Необхідна інформація

Під час подання інформації про вразливість у безпеці, будь ласка, надайте:

 

 Повний опис вразливості, що повідомляється, з описом експлуатабельності та наслідків (впливу).

 Документуйте всі кроки, необхідні для відтворення експлуатації вразливості.

 URL/застосунок(и), на які впливає проблема (навіть якщо ви також надали фрагмент коду/відео).

 IP-адреси, які використовувалися під час тестування.

 Завжди вказуйте ідентифікатор користувача, який використовується для POC.

 Завжди додавайте всі файли, які ви намагалися завантажити.

 Будь ласка, надайте повний доказ концепції (PoC)

 Будь ласка, збережіть усі журнали атаки та додайте їх до звіту.


Невключення будь-якого з обов’язкових елементів може призвести до затримки або утримання виплати винагороди.
Повідомляйте про будь‑які вразливості на електронну адресу [email protected].
#

Увага!

Винагороди не можуть бути надані особам, які перебувають під санкціями, або громадянам країн зі списку санкцій (Куба, Іран, Північна Корея, Судан, Сирія). Ви несете відповідальність за сплату податків відповідно до законодавства вашої країни проживання та громадянства. Місцеві закони можуть містити додаткові обмеження, які можуть заборонити вам брати участь у Програмі.

 

Ця Програма не є конкурсом, а скоріше експериментальною та дискреційною ініціативою винагород. Зверніть увагу, що Paysera може припинити Програму в будь-який момент..

Поширені запитання

Ми вважаємо тестування на вразливості важливою частиною досліджень у галузі безпеки й очікуємо, що подані звіти міститимуть правдоподібний сценарій атаки, щоб вони могли розглядатися для винагороди. Розмір винагороди визначається максимально можливим впливом вразливості. Комісія з оцінки може переглянути розмір винагороди, якщо з’явиться нова інформація, яка суттєво підвищує оцінений вплив (наприклад, ланцюжок багів або скоригований сценарій атаки).
Будь ласка, надсилайте свій звіт одразу після виявлення потенційної вразливості. Комісія враховуватиме максимальний можливий вплив і відповідно визначатиме розмір винагороди. Ми зазвичай виплачуємо вищі винагороди за добре підготовлені й корисні звіти, навіть якщо доповідач не помітив або не зміг повністю оцінити вплив конкретної вразливості.
Become a follower