Programi Bug Bounty

Ekipi ynë i zhvilluesve punon vazhdimisht për të mbajtur informacionin e klientëve të sigurt. Në të njëjtën kohë, ne e kuptojmë rolin e rëndësishëm që luajnë studiuesit e sigurisë dhe komuniteti ynë i përdoruesve në ndihmën për të mbajtur të dhënat e klientëve të sigurta. Nëse zbuloni një dobësi në faqen e internetit ose produktin, ju lutemi na njoftoni duke përdorur udhëzimet më poshtë.

Programi Bug Bounty

Kushtet dhe rregullat e programit

Ju lutemi vini re se pjesëmarrja juaj në Programin Bug Bounty është vullnetare dhe në përputhje me kushtet dhe rregullat e përcaktuara në këtë faqe. Duke paraqitur një dobësi në një uebfaqe ose produkt te Paysera, ju pranoni se keni lexuar dhe pajtuar me kushtet dhe rregullat e këtij Programi.
Këto kushte dhe rregulla të Programit plotësojnë kushtet e çdo marrëveshjeje tjetër që keni nënshkruar me Paysera. Në rast të ndonjë mospërputhjeje midis kushteve të Marrëveshjeve të Paysera dhe këtyre kushteve të Programit, këto të fundit do të mbizotërojnë vetëm për sa i përket Programit Bug Bounty.

Udhëzime për raportimin e problemeve të sigurisë

Nëse mendoni se keni gjetur një dobësi të sigurisë në Paysera, ju lutemi raportojeni atë tek ne nëpërmjet email-it [email protected]. Ju lutemi përfshini hapat e detajuar për sqarimin e problemit dhe një përshkrim të shkurtër të ndikimit të mundshëm. Ne inkurajojmë zbulimin e përgjegjshëm (siç përshkruhet më poshtë) dhe angazhohemi të hetojmë të gjitha raportimet legjitime menjëherë, duke adresuar çdo problem të konfirmuar sa më shpejt të jetë e mundur.

Shërbimet në përfshirje

Cdo shërbim i Paysera që përpunon të dhëna përdoruesi mjaft të ndjeshme konsiderohet në përfshirje. Kjo përfshin, por nuk kufizohet vetëm te, pothuajse të gjithë përmbajtjen nën domain-et e mëposhtme: *.paysera-ks.com.

Politika e zbulimit të përgjegjshëm

Siguria e fondeve, të dhënave dhe komunikimeve të përdoruesve është një prioritet kryesor në Paysera. Për të inkurajuar zbulimin e përgjegjshëm, nuk do të ndërmarrim veprime ligjore kundër studiuesve që identifikojnë dobësitë, për sa kohë që ata ndjekin parimet e zbulimit të përgjegjshëm, të cilat përfshijnë, por nuk kufizohen vetëm te, të mëposhtmet:

Vetëm të keni qasje, të shpallni ose modifikoni të dhënat tuaja si klient.

Mos kryeni sulme që mund të dëmtojnë besueshmërinë ose integritetin e shërbimeve ose të dhënave tona.

Shmangni teknikat e skanimit që mund të shkaktojnë degradim të shërbimit për klientët e tjerë (DoS, spamming).

Ruani gjithmonë sekret detajet e dobësive derisa Paysera të jetë njoftuar dhe të ketë zgjidhur çështjen.

Mos përpiqni të fitoni qasje në llogarinë ose të dhënat e një përdoruesi tjetër.

Gjatë kërkimit të dobësive në uebfaqen e Paysera, është rreptësisht e ndaluar të:

Kryeni veprime që mund të prishin ose të ndikojnë në funksionimin e sistemeve të Paysera;

Përpiqeni të keni qasje të paligjshme, të kopjoni, shpërndani ose shkatërroni të dhënat e Paysera ose të klientëve të saj, qoftë në mënyrë të pavarur apo përmes palëve të treta;

Dëmtoni klientët e Paysera, duke përfshirë ndërprerjen e ofrimit të shërbimit, përdorimin e metodave të social-engineering, ose dërgimin e mesazheve të padëshiruara.

Nëse nuk respektoni këto parime, Paysera mund të kufizojë llogarinë tuaj, të bllokojë adresën tuaj IP dhe të ndërmarrë veprime të tjera ligjore.
Ju ftojmë të punoni së bashku me zhvilluesit e Paysera, diagnostikimin dhe zgjidhjen e çështjes. Ne përdorim udhëzimet e mëposhtme për të përcaktuar pranueshmërinë e kërkesave dhe shumën e shpërblimit.

Kualifikimi

Një person nuk është i përshtatshëm për të marrë pjesë në Programin Bug Bounty nëse ai/ajo:

Ka shkelur ndonjë ligj kombëtar ose vendor;

Është anëtar i ngushtë familjar i një punonjësi të Paysera, filialeve ose degëve të saj;

Është nën 14 vjeç. Nëse jeni së paku 14 vjeç, por konsideroheni i/e mitur në vendin tuaj të banimit, duhet të merrni leje të nënshkruar nga prindërit ose kujdestarët ligjorë para se të merrni pjesë në Program.

Nëse Paysera zbulon se nuk përmbushni ndonjërën nga kriteret e mësipërme, Paysera do t’ju largojë nga Programi Bug Bounty dhe do t’ju diskualifikojë nga marrja e ndonjë pagesë shpërblimi.

Shuma e shpërblimit

Shpërblimet jepen në bazë të seriozitetit të dobësisë së sigurisë. Sa më e rëndësishme të jetë dobësia, aq më i lartë është shpërblimi për raportimin e saj. Dobësitë që mund të çojnë në humbje financiare ose të kompromentojnë sigurinë e të dhënave konsiderohen veçanërisht kritike.

Një shpërblim më i vogël jepet për dobësitë që nuk shkaktojnë rezultatet e mëposhtme:

Humbje të pjesshme/totale të fondeve;

Lidhje të të dhënave të përdoruesve;

Kompromentim të integritetit të transmetimit të të dhënave.

Në të gjitha rastet, mbani informacionet për dobësitë e sistemit sekrete derisa Paysera të njoftohet dhe çështja të zgjidhet.

Mos përpiqni të fitoni qasje në llogarinë ose të dhënat e një përdoruesi tjetër.

Për të qenë i/e kualifikuar për një shpërblim, një dobësi sigurie duhet të përmbushë këto kritere:

Duhet të jetë origjinale dhe e pa raportuar më parë;

Të demonstrojë një dobësi të sistemit në distancë, mundësinë për të shkallëzuar privilegje, ose një rrezik për të zbuluar informacion konfidencial.

Nëse disa individë raportojnë të njëjtën dobësi sigurie në të njëjtën kohë, shpërblimi do të ndahet proporcionalisht mes tyre.
Një shpërblim më i lartë mund të jepet në rastet e mëposhtme:

Kërkuesi mund të demonstrojë klasa të reja sulmesh, ose teknika për kalimin e veçorive të sigurisë. Ose, nëse një dobësi ekzistuese mund të demonstrohet si e mundshme për t'u shfrytëzuar përmes kërkimit të mëtejshëm nga raportuesi, mund të fitohet kompensim shtesë për të njëjtën dobësi.

Kërkimi mund të zbulojë gjithashtu zona problematike shumë të rënda, komplekse ose interesante që nuk janë raportuar më parë ose që ishin çështje të panjohura.

Nëse një raport përmbush të gjitha kërkesat e Programit, pagesat e shpërblimit do të përcaktohen nga Paysera, sipas diskrecionit të vetëm të Paysera. Në asnjë rast Paysera nuk do të jetë i detyruar të paguajë një shpërblim për raportet që bien jashtë kufijve të Programit Bug Bounty. Të gjitha pagesat e shpërblimeve mund të bëhen vetëm në euro në një llogari të identifikuar Paysera. Shpërblimi mund të transferohet gjithashtu në organizatat Greenpeace, Kryqi i Kuq ose Caritas sipas kërkesës së kërkuesit. Pagesat përmes kriptomonedhës ose sistemeve të tjera pagesash që nuk përmenden në këtë faqe nuk mbështeten.

Kur përcaktohet shuma e shpërblimit, Paysera vlerëson rrezikun që do të mund të shkaktonte dobësia e sigurisë dhe ndikimin e mundshëm që mund të kishte ajo.

Shembuj të dobësive

Shembuj të dobësive që kualifikohen

Paysera rezervon të drejtën të vendosë nëse është arritur pragun minimal të seriozitetit për kualifikim dhe nëse ai ishte raportuar më parë.

Anashkalim i autentifikimit ose shkallëzim i privilegjeve.
“Clickjacking” (kur një përdorues mashtruar në mënyrë që të klikojë në elementë të fshehur ose të maskuar të një faqeje interneti).
“Cross-site scripting” (XSS) (një dobësi që lejon injektimin e kodit shtesë në një faqe interneti e cila shfaqet për përdoruesit).
Cross-site request forgery (CSRF/XSRF)
Skeda përmbajtjeje të përzier (mixed-content scripts)
Ekzekutim i kodit në anën e serverit (server-side code execution)
Ekzekutim i kodit në distancë (remote code execution)

Shembuj të dobësive që nuk kualifikohen

Raportimi i dobësive të mëposhtme vlerësohet, por nuk do të çojë në shpërblim sistematik nga Paysera:

Dobësitë e "Denial of Service" (DoS) ose probleme që lidhen me kufizimin e shpejtësisë (rate-limiting).
Mundësitë për të dërguar lidhje të dëmshme tek njerëzit që njihni.
Gabime sigurie në faqe interneti të palëve të treta që integrohen me API-në e Paysera.
Dobësitë që lidhen me softuer të palëve të treta (p.sh. Java, shtesa, ekstensionet) ose faqe interneti, përveç rasteve kur ato çojnë në një dobësi në faqen e Paysera.
Spam (përfshirë probleme që lidhen me SPF/DKIM/DMARC).
Probleme përdorimi, formate që mbushen automatikisht.
Caktime të pasigurta në cookie-t jo të ndjeshme.
Dobësitë e memorjes së shfletuesit (browser cache vulnerabilities).
Dobësitë (përfshirë XSS) që kërkojnë që viktima e mundshme të instaloje softuer jo standard ose të ndërmarrë hapa shumë të pamundur aktiv për të bërë veten të ndjeshëm ndaj sulmit.
Sulme jo teknike si inxhinieria sociale, phishing, ose sulme fizike kundër punonjësve, përdoruesve, ose infrastrukturës sonë.
Dobësitë (përfshirë XSS) që ndikojnë vetëm në shfletuesit ose shtesat e vjetra.
“Self-XSS” (kur një përdorues aksidentalisht instalon kod të dëmshëm në faqen e tij/saj).
CSRF për veprime jo të rëndësishme (logout, etj.).
Sulme “Clickjacking” pa një seri klikimesh të dokumentuara që prodhojnë një dobësi.
Injektim përmbajtjeje, si tekst i reflektuar ose etiketa HTML.
Mungesë e kokës së HTTP-së, përveç rasteve kur mungesa e saj nuk mund të ndihmojë për të zbutur një sulm ekzistues.
Anashkalimi i autentifikimit që kërkon qasje në softuer/harduer.
Dobësitë që kërkojnë qasje në fjalëkalime, tokene, ose sistemin lokal (p.sh. session fixation).
Dobësitë e supozuara që bazohen vetëm në numrat e versioneve.
Gabime që kërkojnë ndërveprim tejet të pamundur nga përdoruesi.
Zbulimi i informacionit publik dhe informacionit që nuk përbën një rrezik të rëndësishëm.
Skriptime ose automatizime të tjera dhe forca brutale për funksionalitetin e synuar.
Kërkesa që shkelin politikën e origjinës së njëjtë (same-origin policy) pa një skenar konkret sulmi (për shembull, kur përdoret CORS, dhe cookie-t nuk përdoren në kryerjen e autentifikimit ose nuk dërgohen me kërkesa).

Informacion i kërkuar

Kur dërgoni informacion në lidhje me një dobësi sigurie, ju lutemi sigurohuni të jepni:

Përshkrim të plotë të dobësisë që po raportohet, përfshirë shfrytëzueshmërinë dhe ndikimin e saj.

Dokumentoni të gjitha hapat e nevojshëm për të riprodhuar shfrytëzimin e dobësisë.

URL(t)/aplikacionet e prekura (edhe nëse keni dërguar gjithashtu një copë kodi/video).

IP adresat që u përdorën gjatë testimit.

Gjithmonë përfshini ID-në e përdoruesit që është përdorur për PoC.

Gjithmonë përfshini të gjitha skedarët që keni tentuar të ngarkoni.

Siguroni PoC-në e plotë (Proof of Concept).

Ju lutemi ruani të gjitha regjistrimet e sulmit dhe bashkëngjitini raportit.

Mospërfshirja e ndonjë elementi të kërkuar mund të çojë në mbajtjen ose vonesën e pagesës së shpërblimit.
Raportoni çdo dobësi tek ne nëpërmjet email-it [email protected].

Shënim!

Shpërblimet nuk mund të jepen individëve të sanksionuar ose shtetasve të vendeve që janë në listën e sanksioneve (Kuba, Irani, Koreja e Veriut, Sudani, Siria). Ju jeni përgjegjës për çdo taksë që mund të zbatohet në bazë të vendit tuaj të banimit dhe shtetësisë. Ligjet lokale mund të vendosin kufizime të tjera që mund t'ju pengojnë të merrni pjesë në Program.

Ky Program nuk është një garë, por një iniciativë shpërblimi eksperimentale dhe diskrecionale. Ju lutemi vini re se Paysera mund të ndërpresë Programin në çdo moment.

Pyetjet e shpeshta

Po sikur të gjej një dobësi, por nuk di si ta shfrytëzoj atë?

Ne e konsiderojmë testimin e cenueshmërisë një pjesë jetësore të kërkimit të sigurisë dhe presim që raportet e paraqitura të përfshijnë një skenar të besueshëm sulmi në mënyrë që ato të mund të merren në konsideratë për një shpërblim. Shumat e shpërblimit përcaktohen nga ndikimi maksimal i mundshëm i cenueshmërisë. Paneli i shqyrtimit mund ta rishikojë shpërblimin nëse dalin informacione të reja që rrisin ndjeshëm ndikimin e vlerësuar (siç është një zinxhir defektesh ose një skenar sulmi i rishikuar).

Si mund ta demonstroj seriozitetin e një cenueshmërie nëse nuk më lejohet të shkel rregullat?

Ju lutemi të dorëzoni raportin tuaj sapo të keni zbuluar një problem të mundshëm sigurie. Paneli do të marrë në konsideratë ndikimin maksimal dhe do të zgjedhë shpërblimin në përputhje me rrethanat. Ne rregullisht paguajmë shpërblime më të larta për raportet që përndryshe janë të shkruara mirë dhe të dobishme, ku raportuesi nuk e ka vënë re ose nuk ka mundur ta analizojë plotësisht ndikimin e një të mete të caktuar.

Programi Bug Bounty