Programul Bug Bounty

Echipa noastră de dezvoltatori lucrează continuu pentru a asigura securitatea informațiilor clienților. În același timp, înțelegem rolul important pe care îl joacă cercetătorii în domeniul securității și comunitatea noastră de utilizatori în asigurarea securității datelor clienților. Dacă descoperiți o vulnerabilitate a siteului web sau a unui produs, vă rugăm să ne anunțați utilizând instrucțiunile de mai jos.

Programul Bug Bounty

Termeni și condiții ale programului

Vă rugăm să rețineți că participarea dvs. la Programul Bug Bounty este voluntară și se supune termenilor și condițiilor stabilite pe această pagină. Prin trimiterea unei vulnerabilități a site-ului web sau a produsului către Paysera, confirmați că ați citit și sunteți de acord cu termenii și condițiile acestui Program.
Termenii și condițiile acestui Program completează termenii oricărui alt acord pe care l-ați încheiat cu Paysera. În cazul unei neconcordanțe între termenii Acordurilor Paysera și termenii și condițiile acestui Program, aceștia din urmă vor prevala exclusiv în ceea ce privește Programul Bug Bounty.

Ghidul de raportare a problemelor de securitate

Dacă credeți că ați descoperit o vulnerabilitate de securitate în Paysera, vă rugăm să ne-o raportați prin e-mail la [email protected]. Vă rugăm să includeți pașii detaliați pentru reproducerea problemei și o scurtă descriere a impactului potențial al acesteia. Încurajăm divulgarea responsabilă (așa cum este descrisă mai jos) și ne angajăm să investigăm prompt toate rapoartele legitime, rezolvând cât mai curând posibil orice probleme confirmate.

Servicii incluse în domeniu

Orice serviciu Paysera care prelucrează date sensibile ale utilizatorilor este considerat inclus în domeniul de aplicare. Acesta include, fără a se limita la, practic tot conținutul din următoarele domenii: *.paysera.com.

Politica de divulgare responsabilă

Securitatea fondurilor, datelor și comunicațiilor utilizatorilor este o prioritate absolută pentru Paysera. Pentru a încuraja divulgarea responsabilă, nu vom întreprinde acțiuni legale împotriva celor care identifică vulnerabilități, cu condiția ca aceștia să respecte principiile divulgării responsabile, care includ, dar nu se limitează la următoarele:

Accesarea, divulgarea sau modificarea numai datele propriilor clienți.

Nu efectueaza niciun atac care ar putea afecta fiabilitatea sau integritatea serviciilor sau datelor noastre.

Evita tehnicile de scanare care pot cauza degradarea serviciilor pentru alți clienți (DoS, spamming).

Păstreaza întotdeauna detaliile vulnerabilităților secrete până când Paysera a fost notificată și a remediat problema.

Nu încerca să accesați contul sau datele altui utilizator.

In researching vulnerabilities on the website of Paysera, it is strictly forbidden to:

Efectuaza acțiuni care ar putea perturba sau afecta funcționarea sistemelor Paysera;

Încercarea de a accesa, copia, distribui sau distruge în mod ilegal datele Paysera sau ale clienților săi, fie independent, fie prin intermediul unor terți;

Aduce prejudicii clienților Paysera, inclusiv prin întreruperea furnizării serviciilor, utilizarea metodelor de inginerie socială sau trimiterea de mesaje nesolicitate.

Dacă nu se respecta aceste principii, Paysera poate restricționa contul dvs., bloca adresa dvs. IP și întreprinde alte acțiuni legale.
Vă invităm să colaborați cu dezvoltatorii Paysera pentru a reproduce, diagnostica și remedia problema. Utilizăm următoarele linii directoare pentru a determina eligibilitatea cererilor și valoarea recompensei.

Eligibilitate

O persoană nu este eligibilă să participe la Programul Bug Bounty dacă:

Ați încălcat orice legi naționale sau locale;

Sunteți un membru apropiat al familiei unui angajat al Paysera, al filialelor sau sucursalelor sale;

Ai sub 14 ani. Dacă ai cel puțin 14 ani, dar ești considerat minor în locul de reședință, trebuie să obții o permisiune semnată de părinți sau tutori legali înainte de a participa la Program.

Dacă Paysera descoperă că nu îndepliniți niciunul dintre criteriile de mai sus, Paysera vă va elimina din Programul Bug Bounty și vă va descalifica de la primirea oricăror plăți de recompensă.

Valoarea recompensei

Recompensele sunt acordate în funcție de gravitatea vulnerabilității de securitate. Cu cât vulnerabilitatea este mai semnificativă, cu atât recompensa pentru raportarea acesteia este mai mare. Vulnerabilitățile care ar putea duce la pierderi financiare sau compromite securitatea datelor sunt considerate deosebit de critice.

O recompensă mai mică este acordată pentru vulnerabilitățile care nu provoacă următoarele rezultate:

Pierderea parțială/totală a fondurilor;

Scurgeri de date ale utilizatorilor;

Compromiterea integrității transmiterii datelor.

În toate cazurile, păstrați confidențialitatea informațiilor despre vulnerabilitățile sistemului până când Paysera a fost notificată și problema a fost rezolvată.

Nu încercați să accesați contul sau datele altui utilizator.

Pentru a fi eligibilă pentru o recompensă, o vulnerabilitate de securitate trebuie să îndeplinească următoarele criterii:

Trebuie să fie originală și să nu fi fost raportată anterior;

Să demonstreze o vulnerabilitate a sistemului la distanță, potențialul de escaladare a privilegiilor sau riscul de divulgare a informațiilor confidențiale.

Dacă mai multe persoane raportează aceeași vulnerabilitate de securitate în același timp, recompensa va fi împărțită proporțional între ele.
O recompensă mai mare poate fi acordată în următoarele cazuri:

Raportorul poate demonstra noi tipuri de atacuri sau tehnici de ocolire a funcțiilor de securitate. Sau, dacă se poate demonstra că o vulnerabilitate existentă poate fi exploatată prin cercetări suplimentare efectuate de raportor, se poate obține o compensație suplimentară pentru aceeași eroare.

Raportorul ar putea, de asemenea, să descopere probleme extrem de grave, complexe sau interesante, care nu au fost raportate anterior sau care erau necunoscute.

Dacă un raport îndeplinește toate cerințele Programului, plățile de recompense vor fi stabilite de Paysera, la discreția exclusivă a Paysera. În niciun caz Paysera nu va fi obligată să plătească o recompensă pentru rapoartele care nu se încadrează în domeniul de aplicare al Programului Bug Bounty. Toate plățile recompenselor pot fi efectuate numai în euro către un cont Paysera identificat. Recompensa poate fi transferată și către organizațiile Greenpeace, Crucea Roșie sau Caritas, la cererea cercetătorului. Plățile prin criptomonede sau alte sisteme de plată care nu sunt menționate pe această pagină nu sunt acceptate..

La stabilirea cuantumului recompensei, Paysera evaluează riscul reprezentat de vulnerabilitatea de securitate și impactul potențial pe care acesta îl poate avea.

Exemple de vulnerabilități

Exemple de vulnerabilități eligibile

Paysera își rezervă dreptul de a decide dacă pragul minim de gravitate este îndeplinit și dacă acesta a fost deja raportat.

Ocolirea autentificării sau escaladarea privilegiilor.
„Clickjacking (când un utilizator este păcălit să facă clic pe elemente ascunse sau deghizate ale unei pagini web).
„Cross-site scripting (XSS) (o vulnerabilitate care permite injectarea de cod suplimentar într-o pagină web vizualizată de utilizatori)
Falsificarea cererilor între site-uri (CSRF/XSRF)
Scripturi cu conținut mixt
Executarea codului pe partea serverului
Încălcarea datelor utilizatorului
Executarea codului la distanță

Exemple de vulnerabilități necalificate

Raportarea următoarelor vulnerabilități este apreciată, dar nu va duce la recompense sistematice din partea Paysera.

Vulnerabilitate de tip Denial of Service (DoS) sau probleme legate de limitarea ratei.
Posibilități de a trimite linkuri rău intenționate persoanelor pe care le cunoașteți.
Bug-uri de securitate în site-urile web ale terților care se integrează cu API-ul Paysera.
Vulnerabilități legate de software-ul terț (de exemplu, Java, pluginuri, extensii) sau site-ul web, cu excepția cazului în care acestea conduc la vulnerabilități pe site-ul web Paysera.
Spam (inclusiv aspecte legate de SPF/DKIM/DMARC).
Probleme de utilizare, completarea automată a formularelor.
Setări nesigure în cookie-urile nesensibile.
Vulnerabilități ale cache-ului browserului.
Vulnerabilități (inclusiv XSS) care necesită ca o potențială victimă să instaleze software non-standard sau să ia măsuri active foarte puțin probabile pentru a se expune riscului.
Atacuri non-tehnice, cum ar fi ingineria socială, phishingul sau atacurile fizice împotriva angajaților, utilizatorilor sau infrastructurii noastre.
Vulnerabilități (inclusiv XSS) care afectează numai browserele/pluginurile vechi.
„Self-XSS (când un utilizator instalează accidental coduri malitioase pe propriul site web).
CSRF pentru acțiuni nesemnificative (deconectare etc.).
„Atacuri de tip clickjacking fără o serie documentată de clicuri care produc o vulnerabilitate.
Injectarea de conținut, cum ar fi textul reflectat sau etichetele HTML.
Anteturi HTTP lipsă, cu excepția cazurilor în care absența acestora nu atenuează un atac existent.
Ocolirea autentificării care necesită acces la software/hardware.
Vulnerabilități care necesită acces la parole, tokenuri sau sistemul local (de exemplu, fixarea sesiunii).
Vulnerabilități presupuse bazate exclusiv pe numerele versiunilor
Bug-uri care necesită o interacțiune extrem de improbabilă din partea utilizatorului.
Divulgarea informațiilor publice și a informațiilor care nu prezintă un risc semnificativ.
Scripting sau alte forme de automatizare și forțare brută a funcționalității intenționate.
Solicitări care încalcă politica privind originea identică fără un scenariu concret de atac (de exemplu, atunci când se utilizează CORS, iar cookie-urile nu sunt utilizate pentru autentificare sau nu sunt trimise odată cu solicitările).

Informații necesare

Când trimiteți informații despre o vulnerabilitate de securitate, vă rugăm să furnizați

Descrierea completă a vulnerabilității raportate, inclusiv exploatabilitatea și impactul acesteia.

Documentați toate etapele necesare pentru a reproduce exploatarea vulnerabilității.

URL-uri/aplicații afectate (chiar dacă ne-ați furnizat și un fragment de cod/video).

Adresele IP utilizate în timpul testării.

Includeți întotdeauna ID-ul utilizatorului care este utilizat pentru POC.

Includeți întotdeauna toate fișierele pe care ați încercat să le încărcați.

Furnizați informațiile complete PoC.

Vă rugăm să salvați toate jurnalele de atac și să le atașați la raport.

Neincluderea oricăruia dintre elementele necesare poate duce la reținerea sau întârzierea plății recompensei.
Raportați-ne orice vulnerabilități prin e-mail la adresa [email protected].

Notă!

Recompensele nu pot fi acordate persoanelor sancționate sau cetățenilor țărilor aflate pe lista sancțiunilor (Cuba, Iran, Coreea de Nord, Sudan, Siria). Sunteți responsabil pentru orice taxe aplicabile în funcție de țara de reședință și cetățenie. Legislația locală poate impune restricții suplimentare care v-ar putea împiedica să participați la Program.

Acest program nu este o competiție, ci mai degrabă o inițiativă experimentală și discreționară de recompensare. Vă rugăm să rețineți că Paysera poate înceta programul în orice moment.

Întrebări frecvente

Ce se întâmplă dacă am găsit o vulnerabilitate, dar nu știu cum să o exploatez?

Considerăm testarea vulnerabilităților o parte esențială a cercetării în domeniul securității și ne așteptăm ca rapoartele trimise să includă un scenariu de atac credibil, astfel încât să poată fi luate în considerare pentru o recompensă. Valoarea recompenselor este determinată de impactul potențial maxim al vulnerabilității. Comisia de evaluare poate revizui recompensa dacă apar informații noi care sporesc în mod semnificativ impactul evaluat (cum ar fi o serie de erori sau un scenariu de atac revizuit).

Cum pot demonstra gravitatea unei vulnerabilități dacă nu am voie să încalc regulile?

Vă rugăm să trimiteți raportul imediat ce ați descoperit o potențială problemă de securitate. Comisia va evalua impactul maxim și va stabili recompensa în consecință. De obicei, acordăm recompense mai mari pentru rapoarte bine scrise și utile, în cazul în care raportorul nu a observat sau nu a putut analiza pe deplin impactul unei anumite vulnerabilități.

Programul Bug Bounty