Sicherheitslücke in unserem Code melden

Wenn Sie eine Sicherheitslücke in unserem Code oder unserer Infrastruktur entdecken, melden Sie sie an uns. Je nach Komplexität und den möglichen Auswirkungen erhalten Sie eine Prämie von bis zu 10.000 € pro Sicherheitslücke.

Table of contents
Wie kann ich Sicherheitslücken melden?
Welche Sicherheitslücken entsprechen den Qualifizierungskriterien?
Welche Sicherheitslücken entsprechen nicht den Qualifizierungskriterien?
Gibt es Beispiele für konkrete Szenarien, die ich melden kann?
Wie werden Sicherheitslücken klassifiziert?
Welche Prämie erhalte ich?
Wer hat Anspruch auf eine Prämie?
Wer entscheidet über die Gültigkeit eines Sicherheitslückenmeldung?
Wie lange dauert es, bis ich eine Rückmeldung zu einer gemeldeten Sicherheitslücke erhalte?
Bitte auswählen

So melden Sie eine Sicherheitslücke

Wir sind bestrebt, ein starkes Glied in Ihrer Sicherheitskette zu sein, indem wir Ihre Daten und Ihre Kommunikation durch Zero-Knowledge-Verschlüsselung schützen. Aber niemand ist perfekt, auch wir nicht. Deshalb würden wir uns freuen, von Ihnen zu hören, wenn Sie eine Sicherheitslücke in unserem Code oder unserer Infrastruktur entdeckt haben, die unsere Qualifizierungskriterien erfüllt.

Bevor Sie sich an uns wenden, lesen Sie bitte alle Informationen auf dieser Seite und befolgen Sie die Anweisungen.

Wie kann ich Sicherheitslücken melden?

Wir freuen uns auf gut strukturierte Meldungen, die das Problem klar erläutern. Dadurch können wir das Problem reproduzieren und nachvollziehen, und Sie erhalten in kürzerer Zeit höhere Auszahlungen. Für Tipps zum Schreiben von Bug-Bounty-Meldungen empfehlen wir Ihnen die Lektüre dieses Artikels.

Wenn Ihre Meldung fertiggestellt ist, senden Sie ihn bitte an bug@megalink.nz

Welche Sicherheitslücken entsprechen den Qualifizierungskriterien?

  • Remote-Codeausführung auf einem unserer Server, einschließlich SQL-Injection-Fehlern
  • Serverseitige Anfragefälschungen (server-side request forgery, SSRF).
  • Remote-Codeausführung auf einem Client-Browser; zum Beispiel durch Cross-Site-Scripting.
  • Alles, was unser kryptographisches Sicherheitsmodell kompromittiert und einen unbefugten Zugriff auf oder Manipulation von Schlüsseln oder Daten über eine Remote-Verbindung ermöglicht.
  • Umgehen von Zugriffskontrollen und Authentifizierungsmechanismen auf eine Weise, die zum unbefugten Überschreiben und Löschen von Schlüsseln oder Benutzerdaten führen kann
  • Jedes Problem, das die Daten eines Benutzeraccounts beim Kompromittieren der zugehörigen E-Mail-Adresse gefährdet

Welche Sicherheitslücken entsprechen nicht den Qualifizierungskriterien?

  • Alles, was eine aktive Benutzerinteraktion erfordert, wie zum Beispiel Phishing- und Social-Engineering-Angriffe
  • Schwache Benutzeraccount-Passwörter
  • Sicherheitslücken, deren Ausnutzung eine große Anzahl von Serveranfragen voraussetzt
  • Angriffe, die einen kompromittierten Client-Rechner voraussetzen
  • Probleme, die durch die Verwendung von nicht unterstützten oder veralteten Client-Browsern entstehen
  • Probleme, die physischen Zugang zu einem Rechenzentrum voraussetzen (siehe unten für begrenzte Szenarien mit kompromittierten Servern).
  • Sicherheitslücken in von Dritten betriebenen Diensten, z. B. von Vertriebspartnern
  • Alle Arten von Überlastungs-, Ressourcenerschöpfungs- und Dienstverweigerungsangriffen (denial of service, DoS).
  • Alle Szenarien, die auf gefälschten SSL-Zertifikaten basieren
  • Alles, was extreme Rechenleistung (2^60 kryptografische Operationen oder mehr) oder einen funktionierenden Quantencomputer erfordert, einschließlich einer vermeintlichen Vorhersagbarkeit von Zufallszahlen (wenn Sie nicht nur allgemeine Vermutungen anstellen, sondern eine konkrete Schwachstelle aufzeigen, könnte Ihr Fehlerbericht trotzdem die Qualifizierungskriterien erfüllen)
  • Alle Fehler oder Probleme, die nicht sicherheitsrelevant sind

Gibt es Beispiele für konkrete Szenarien, die ich melden kann?

Kompromittierter statischer CDN-Knoten (*.static.mega.co.nz)

Nehmen wir an, Sie haben einen unserer Server für statische Inhalte kompromittiert und sind in der Lage, die Dateien (einschließlich des gesamten JavaScript-Codes) zu manipulieren, die über diesen Server bereitgestellt werden. Können Sie dies dazu nutzen, unsere Sicherheit zu kompromittieren?

Hinweis: Die Beeinflussung von Benutzeraktionen durch veränderte Bilddateien ist ausgeschlossen, auch wenn dies in diesem Kontext eine potenzielle Sicherheitslücke darstellt.

Kompromittierter Benutzerspeicher-Knoten (*.userstorage.mega.co.nz)

Nehmen wir an, Sie sind in einen unserer Speicherknoten eingedrungen und können diesen frei manipulieren. Sie wissen, dass Ihr Opfer demnächst eine bestimmte Datei von diesem Knoten herunterlädt, aber Sie kennen den Schlüssel zu dieser Datei nicht. Können Sie den Inhalt der Datei so manipulieren, dass der Download trotzdem ohne Fehler abläuft?

Kompromittierte Kerninfrastruktur (*.api.mega.co.nz)

Dies ist das extremste Szenario. Nehmen wir an, Sie haben den Kern unserer operativen Aktivitäten kompromittiert – unsere API-Server. Können Sie API-Clients dazu bringen, verwendbare Schlüssel für Dateien in Accounts herauszugeben, die keine ausgehenden Freigaben enthalten?

Wie werden Sicherheitslücken klassifiziert?

MEGA klassifiziert Sicherheitslücken nach Schweregrad auf einer Skala von 1 bis 6.

  • Severity class 6
    Fundamental cryptographic design flaws that are generally exploitable.
  • Severity class 5
    Remote code execution on core MEGA servers, such as application programming interface, database, and root clusters or major access control breaches.
  • Severity class 4
    Cryptographic design flaws that can be exploited only after compromising server infrastructure, either live or post-mortem.
  • Severity class 3
    Generally exploitable remote code execution on client browsers (cross-site scripting).
  • Severity class 2
    Cross-site scripting that can be exploited only after compromising the API server cluster or mounting a man-in-the-middle attack, for example by issuing a fake TLS/SSL certificate plus DNS/BGP manipulation.
  • Severity class 1
    All lower-impact or purely theoretical vulnerability scenarios.

Welche Prämie erhalte ich?

Je nach Komplexität und den möglichen Auswirkungen beträgt die Prämie bis zu 10.000 Euro pro Sicherheitslücke.

Für qualitativ hochwertige Fehler- und Sicherheitslückenmeldungen, die gut strukturiert und mit einem Proof-of-Concept dokumentiert sind, wird eine Belohnung am oberen Ende der jeweiligen Schweregradklasse ausgezahlt.

Wer hat Anspruch auf eine Prämie?

Die erste Person, die eine durch MEGA reproduzierbare und verifizierbare Sicherheitslücke meldet, erhält eine Prämie.

Wer entscheidet über die Gültigkeit eines Sicherheitslückenmeldung?

Die Entscheidung darüber, ob Ihre Meldung unsere Qualifizierungskriterien erfüllt und wie hoch die Prämie ausfällt, liegt in unserem Ermessen. Wir sind zwar bestrebt, fair und großzügig vorzugehen, aber durch das Einreichen eines Fehlerberichts erkennen Sie die Endgültigkeit unserer Entscheidung an.

Wie lange dauert es, bis ich eine Rückmeldung zu einer gemeldeten Sicherheitslücke erhalte?

Wir bemühen uns, Berichte innerhalb weniger Tage nach Erhalt zu beantworten. Wenn Sie innerhalb dieses Zeitraums nichts von uns hören, könnte dies daran liegen, dass Ihr Bericht fehlerhaft ist oder nicht genügend Details enthält, um angemessen geprüft zu werden. Bitte melden Sie sich per E-Mail, wenn Sie sich sicher sind, dass Ihr Bericht vollständig und korrekt ist.

Richtlinien für eine verantwortungsvolle Offenlegung

Bitte halten Sie sich an die branchenüblichen Richtlinien für die verantwortungsvolle Offenlegung von Sicherheitslücken, die eine Frist von 90 Tagen ab dem Zeitpunkt vorsehen, zu dem die gemeldete Sicherheitslücke verifiziert und bestätigt wurde, um uns genügend Zeit zu geben, etwaige Korrekturen zu testen und bereitzustellen.