Informa de una vulnerabilidad en nuestro código

Informa de una vulnerabilidad en nuestro código y obtén hasta 10,000 € por cada vulnerabilidad, dependiendo de su complejidad y potencial de impacto.

¿Cómo informo de una vulnerabilidad?
¿Cuáles son las vulnerabilidades aceptadas?
¿Cuáles son las vulnerabilidades no aceptadas?
¿Qué escenarios especiales puedo reportar?
¿Cómo se clasifican las vulnerabilidades?
¿Cuánto me van a recompensar?
¿Quién puede optar a una recompensa?
¿Quién decide si el informe de vulnerabilidad es válido o no?
¿Cuánto tiempo tarda la respuesta sobre una vulnerabilidad que he reportado?

Instrucciones sobre cómo reportar una vulnerabilidad

Somos un eslabón fuerte en tu cadena de seguridad gracias a nuestro cifrado de conocimiento cero que protege tus datos y comunicaciones. Sin embargo nadie es perfecto, y nosotros tampoco. Es por eso que si descubres una vulnerabilidad en nuestro código o infraestructura nos encantaría saberlo.

Antes de ponerte en contacto con nosotros, lee toda la información de esta página y sigue las instrucciones.

¿Cómo informo de una vulnerabilidad?

Valoramos los informes bien estructurados y que explican el problema con claridad. Esto nos facilita reproducir y comprender el problema, y agiliza el pago. Te aconsejamos leereste post para obtener consejos sobre cómo escribir informes de recompensas por vulnerabilidades.

Cuando tu informe esté listo, envíalo a bug@mega.nz

¿Cuáles son las vulnerabilidades aceptadas?

  • Ejecución remota de código en cualquiera de nuestros servidores, incluidas fallas de inyección SQL.
  • Falsificaciones de solicitudes del lado del servidor.
  • Ejecución remota de código en cualquier navegador; por ejemplo, a través de secuencias de comandos entre sitios.
  • Cualquier cosa que rompa nuestro modelo de seguridad criptográfica y permita el acceso remoto no autorizado a claves o datos, o la manipulación de los mismos.
  • Omisiones de control de acceso y autenticación que podrían conducir a la sobrescritura y eliminación no autorizadas de claves o datos de usuario.
  • Cualquier problema que ponga en peligro los datos de la cuenta del usuario en los casos en que la dirección de correo electrónico asociada se vea comprometida.

¿Cuáles son las vulnerabilidades no aceptadas?

  • Cualquier cosa que requiera activamente la interacción del usuario, como phishing y ataques de ingeniería social.
  • Contraseñas débiles de cuentas de usuario.
  • Vulnerabilidades que requieran una gran cantidad de solicitudes del servidor para ocurrir.
  • Ataques que requieran una máquina comprometida.
  • Problemas que ocurran a través del uso de navegadores no compatibles u obsoletos.
  • Cualquier problema que requiera acceso físico al centro de datos (consulta a continuación los escenarios permitidos que tienen en cuenta servidores comprometidos).
  • Vulnerabilidades en servicios operados por terceros, como revendedores.
  • Cualquier tipo de sobrecarga, agotamiento de recursos y ataques DoS.
  • Cualquier escenario que dependa de certificados SSL falsificados.
  • Cualquier cosa que requiera una potencia informática extrema (2^60 operaciones criptográficas o más) o un equipo cuántico en funcionamiento, incluidos números aleatorios supuestamente predecibles. Si puedes demostrar una debilidad real en lugar de una conjetura general, podríamos considerarlo como un informe de error válido.
  • Cualquier error o problema no relacionado con las vulnerabilidades de seguridad.

¿Qué escenarios especiales puedo reportar?

Nodo CDN estático comprometido(*.static.mega.co.nz)

Supongamos que has comprometido uno de nuestros servidores de contenido estático y puedes manipular los archivos (incluido todo el código JavaScript) que contiene. ¿Podrías aprovechar esta situación para poner en riesgo nuestra seguridad?

Aviso: Se excluye influir en las acciones del usuario a través de archivos de imagen modificados, aunque de hecho sea una vulnerabilidad potencial en este contexto.

Nodo de almacenamiento de usuario comprometido(*.userstorage.mega.co.nz)

Supongamos que has obtenido acceso a uno de nuestros nodos de almacenamiento y puedes manipularlo libremente. Sabes que tu víctima está a punto de descargar un archivo en particular que reside en ese nodo, pero no tienes su clave. ¿Puedes manipular su contenido para que se descargue sin errores?

Infraestructura central comprometida (*.api.mega.co.nz)

Este es el escenario más extremo. Supongamos que has comprometido nuestro corazón operativo, los servidores API. ¿Puedes engañar a los clientes del API para que te entreguen claves utilizables para archivos almacenados en cuentas que no contienen elementos compartidos salientes?

¿Cómo se clasifican las vulnerabilidades?

MEGA clasifica las vulnerabilidades según su gravedad, en una escala del 1 al 6.

  • Severity class 6
    Fundamental cryptographic design flaws that are generally exploitable.
  • Severity class 5
    Remote code execution on core MEGA servers, such as application programming interface, database, and root clusters or major access control breaches.
  • Severity class 4
    Cryptographic design flaws that can be exploited only after compromising server infrastructure, either live or post-mortem.
  • Severity class 3
    Generally exploitable remote code execution on client browsers (cross-site scripting).
  • Severity class 2
    Cross-site scripting that can be exploited only after compromising the API server cluster or mounting a man-in-the-middle attack, for example by issuing a fake TLS/SSL certificate plus DNS/BGP manipulation.
  • Severity class 1
    All lower-impact or purely theoretical vulnerability scenarios.

¿Cuánto me van a recompensar?

Pagamos hasta 10.000 EUR por cada vulnerabilidad, dependiendo de su complejidad y potencial de impacto.

Los informes de error y vulnerabilidades de alta calidad que estén bien estructurados y documentados con una prueba de concepto serán recompensados con el máximo nivel de cada clase de gravedad.

¿Quién puede optar a una recompensa?

La primera persona que reporte una vulnerabilidad que sea reproducible y verificable por MEGA recibirá una recompensa.

¿Quién decide si el informe de vulnerabilidad es válido o no?

La decisión sobre la validez de un informe y sobre la recompensa que recibirás queda a nuestra discreción. Si bien seremos justos y generosos, al enviar un informe de error aceptas que nuestro veredicto sea definitivo.

¿Cuánto tiempo tarda la respuesta sobre una vulnerabilidad que he reportado?

Nuestro objetivo es responder a los informes a los pocos días de haberlos recibido. Si no recibes noticias dentro de este plazo, significa que tu informe es erróneo o carece de los detalles suficientes para tomarlo en consideración. Haz un seguimiento por correo electrónico solo si estás seguro de que tu informe está completo y es correcto.

Política de divulgación responsable

Tendrás que cumplir con la política de divulgación responsable estándar de la industria, y esperar 90 días desde que se verifica y reconoce la vulnerabilidad, para darnos tiempo de probar e implementar cualquier corrección.