Programmivigadest teatamise programm
Programmivigadest teatamise programm
Programmi tingimused
Juhime teie tähelepanu sellele, et programmivigadest teatamise programmis osalemine on vabatahtlik ja sellele kehtivad siin lehel nimetatud tingimused. Payserale haavatavast veebilehest või tootest teada andes kinnitate, et olete tutvunud ja nõustute programmi tingimustega.
Programmi tingimused moodustavad ükskõik millise muu Payseraga sõlmitud lepingu lisa. Kui Paysera lepingute tingimuste ja nende programmi tingimuste vahel esinevad lahknevused, siis peetakse esmaseks neid programmi tingimusi, kuid üksnes programmivigadest teatamise programmi raames.
Turvaohtudest teatamise juhised
Kui arvate, et olete leidnud Paysera lehel turvaohu, andke sellest meile teada e-posti aadressil [email protected]. Lisage teatele tõrke taastamise üksikasjalikud sammud ja selle tõrke mõju lühikirjeldus. Toetame vastutustundlikku avalikustamist (vt allpool) ning lubame, et uurime kõiki seaduslikke teateid ja parandame kõik vead esimesel võimalusel.
Programmi tingimustega hõlmatud teenused
Kõik Paysera teenused, mille osutamisel töödeldakse tundlikke isikuandmeid, on nende tingimusega hõlmatud. See tähendab pea kogu sisu, mis on avaldatud järgmistel domeenidel: *.paysera.com
Vastutustundliku avalikustamise põhimõtted
Kasutajate rahaliste vahendite, andmete ja kommunikatsiooni turvalisus on Paysera jaoks väga oluline. Et toetada vastutustundlikku avalikustamist, ei ole meil kavas rakendada õiguslikke meetmeid rikete otsijate vastu, kes annavad meile probleemidest teada, tingimusel, et nad täidavad järgmisi vastutustundliku avalikustamise põhimõtteid, mis hõlmavad muu hulgas järgmist:
- Saage juurdepääs, kontrollige ja muutke üksnes oma klientide andmeid.
- Ärge pange toime rünnakut, mis võib kahjustada meie teenuste või andmete usaldusväärsust või terviklikkust.
- Vältige selliste skaneerimistehnikate kasutamist, mis võivad halvendada teenuste osutamist muudele klientidele (DoS, spämmi levitamine).
- Hoidke turvaohtudega seotud üksikasju saladuses seni, kuni Paysera't on neist teavitatud ja vead on parandatud.
- Ärge püüdke saada juurdepääsu muu kasutaja kontole või andmetele.
Paysera veebilehtede turvaohtude otsimiseks ei tohi kasutada meetodeid, mille tulemusel:
- võib Paysera süsteem halveneda;
- võite teie või kolmas isik saada juurdepääsu, salvestada, jagada või hävitada Paysera või klientide andmeid;
- võivad mõjutada saada Paysera kliendid, näiteks teenuse mitteosutamine, sotsiaalne manipuleerimine või spämm.
Kui te ei järgi siin esitatud põhimõtteid, siis on meil õigus teie konto peatada ja IP aadress blokeerida.
Palume teil olla kättesaadav ja esitada leitud tõrke kohta lisateavet ning kutsume teid üles tegema Paysera arendajatega koostööd tõrke taastamise, diagnoosimise ja parandamise küsimustes. Teadete põhjendatuse ja saadava tasu määramiseks kasutame järgmisi põhimõtteid.
Sobivus
- rikkuda ühtegi riiklikku ega kohalikku seadust ega muud õigusakti;
- olla otseses suguluses Paysera, selle tütarettevõtte või filiaali töötajaga;
- olla alla 14-aastane. Kui olete vähemalt 14-aastane, kuid teie elukohariigis peetakse teid alaealiseks, siis peab teil olema programmis osalemise luba, mille on allkirjastanud teie vanemad või seaduslik hooldaja.
Tasu suurus
Vead, millest teatamise eest masktakse väiksemat tasu, on sellised, mis ei too kaasa üht või mitut järgmistest tagajärgedest:
- rahaliste vahendite osaline/täielik kadumine;
- kasutajaandmete leke;
- andmevahetuse täpsuse halvenemine.
Tasu saamiseks:
- peab turvaviga olema originaalne ja varem esitamata;
- peab turvaviga olema kaugjuhitav, tekitama privileegide eskaleerumise või põhjustama infolekke.
Kui samast veast teavitab Payserad kaks või enam isikut, siis jagatakse tasu nende vahel ära.
Esitame mõned näited selle kohta, kuidas saada suuremat tasu:
- Uurija võib näidata uusi rünnakuklasse või tehnikaid turvafunktsioonidest kõrvale hiilimiseks. Või kui uurija näitab, et olemasolevat viga saab kasutada täiendavate uuringute tegemiseks, siis on võimalik sama vea eest saada suuremat tasu.
- Veaotsingute käigus võivad välja tulla ka väga tõsised, keerukad või huvipakkuvad probleemivaldkonnad, millest varem ei teatud või ei olnud teavitatud.
Tasu programmivigadest teatamise eest määrab Paysera omal äranägemisel. Payseral ei ole ühelgi juhul kohustust maksta teile teate edastamise eest tasu. Kõik tasud makstakse üksnes eurodes Paysera identifitseeritud kontole. Tasu on võimalik saata ka sellistele organisatsioonidele nagu Greenpeace, Punane Rist ja Caritas.
Paysera ei maksa tasu krüptorahas ega muudesse maksesüsteemidesse, mida ei ole sellel lehel nimetatud.
Tasu suuruse määramisel arvestab Paysera vea ohutaset ja võimalikku mõju.
Vigade näited
Paysera jätab endale õiguse otsustada, kas vea tõsiduse miinimumkriteeriumid on täidetud ja kas sellisest veast on juba teatatud.
- Autentimisest kõrvale hiilimine või privileegide eskaleerumine.
- Klõpsurööv (clickjacking).
- Murdskriptimine (XSS).
- Päringuvõltsingud (CSRF/XSRF).
- Segasisu skriptid.
- Koodi käitus serveri poolelt.
- Kasutaja andmetega seotud rikkumised.
- Koodi kaugkäitus.
Järgmistest turvanõrkustest teatamine on teretulnud, kuid sellega ei kaasne süstemaatilist tasustamist Paysera poolt.
- Teenusetõkestus (DoS).
- Võimalused saata kahjurlinke tuttavatele inimestele.
- Turvaohud kolmandate poolte veebilehtedel, mis on integreeritud Paysera API-ga.
- Kolmandate poolte tarkvara (nt Java, pluginad, laiendused) või veebilehtedega seotud ohud, kui need ei ohusta Paysera lehti.
- Rämpspost (sh SPF/DKIM/DMARC-ga seotud ohud).
- Kasutamisega ja vormide automaatse täitmisega seotud ohud.
- Ebaturvalised sätted küpsiste failis.
- Brauseri vahemälu ohud.
- Turvanõrkused (sh XSS), mille puhul peab võimalik ohver installeerima ebastandardse tarkvara või tegema muid ebatõenäolisi toiminguid, et rünnaku mõju alla sattuda.
- Mittetehnilist laadi rünnakud, näiteks sotsiaalne manipuleerimine, andmepüük (phishing) või füüsiline rünne meie töötajate, kasutajate või taristu vastu.
- Turvanõrkused (sh XSS), mis võivad mõjutada üksnes vananenud brausereid/pluginaid.
- Self-XSS (murdskriptimine).
- CSRF ebaoluliste tegevuste puhul (väljalogimine jne).
- Klõpsuröövi rünnakud, kus puudub ohu tekitanud klõpsuseeria dokumenteerimine.
- Võltssisu esitamine, näiteks peegeldatud tekst või HTML-sildid.
- Puuduvad HTTP-päised, välja arvatud juhul, kui nende puudumine ei leevenda olemasolevat rünnakut.
- Autentimisest kõrvale hiilimine, mis nõuab juurdepääsu tarkvarale/riistvarale.
- Turvanõrkused, mille puhul on vaja juurdepääsu paroolidele, tõenditele või kohalikule süsteemile (nt seansikinnitus).
- Oletatavad ohud, mis tuginevad üksnes versiooninumbritele.
- Tõrked, mis eeldavad väga ebatõenäolist kasutaja sekkumist.
- Avaliku teabe ja sellise teabe, mis ei kujuta endast olulist ohtu, avalikustamine.
- Skripting ja muu automatiseerimine ning muude kavandatavate funktsioonide kindel forsseerimine.
- Päringud, mis rikuvad sama allika poliitikat (SOP) ilma konkreetse ründestsenaariumita (nt CORS-i kasutamise korral, kui küpsiseid ei kasutata autentimisel ega saadeta koos päringutega).
Nõutav teave
- Leitud turvaaugu täielik kirjeldus, sealhulgas selle ärakasutatavus ja mõju.
- Kõikide etappide dokumenteeritud kirjeldused, et oleks võimalik taastada turvaaugu ärakasutatavust.
- Mõjutatud URLid/rakendus(ed) (ka siis, kui esitasite meile koodikatkendi või video).
- Testimisel kasutatud IP-aadressid.
- Lisage alati kasutaja ID, mida kasutati kontaktpunktis.
- Lisage alati kõik failid, mida püüdsite üles laadida.
- Esitage oma teate täielik PoC.
- Salvestage kõik rünnaku logid ja lisage need teatele.
Nimetatud andmete esitamata jätmise tõttu võidakse tasu maksmine edasi lükata või ära jätta.
Esitage andmed e-posti aadressile [email protected].
Tegemist ei ole võistlusega, vaid eksperimentaalse ja vabatahtliku boonusprogrammiga. Juhime teie tähelepanu sellele, et meil on õigus programm igal ajal lõpetada.
Korduma kippuvad küsimused
Meie hinnangul on turvaaugu kontrollimine oluline samm süsteemi haavatavuse uurimisel ja loodame, et teated turvaaugu kohta sisaldavad toimivaid ründestsenaariume, et saaksime teile selle eest tasu maksta. Tasu suurus sõltub turvaaugu maksimaalsest mõjust, kuid komisjon on valmis uue teabe põhjal (nt veaahel või üle vaadatud ründestsenaarium) tasu suurust muutma.
Esitage oma aruanne kohe, kui olete avastanud võimaliku turvaprobleemi. Komisjon hindab selle maksimaalset mõju ja määrab selle kohaselt tasu. Meil on kombeks maksta suuremat tasu hästi koostatud ja kasulike teadete eest, isegi kui teate esitaja ei märganud või ei osanud täielikult analüüsida konkreetse vea täit mõju.