Создатели Mega заплатят по 10 тысяч евро за обнаружение серьезных бреши в безопасности

На этих выходных файлообменный сервис Mega запустил программу Vulnerability
Reward Program, в рамках которой за обнаружение багов будут выплачиваться
денежные поощрения до 10 000 евро. Спектр багов ограничивается
уязвимостями, позволяющими получить несанкционированный доступ к ключам или
незашифрованным данным, а также дающим возможность удалить ключи ли данные
и/или открыть доступ к пользовательским адресам электронной почты.

Кроме того, Mega принимает любые баги, позволяющие удаленно воспроизводить
код, как со стороны браузера-клиента (например кросс-сайтовые скриптовые
уязвимости, предоставляющие возможность несанкционированной пересылки
cookie-файлов), так и на серверной стороне (SQL-инъекции).

В программу не входят совсем уж тривиальные баги, уязвимости, которые не
влекут за собой серьезных последствий, а также бреши на стороне пользователей
(выбор недостаточно безопасного пароля, запуск сервиса на зараженной машине, и
эксплойты, требующие для запуска сторонних сервисов или даже квантовых
компьютеров).

Взлом серверов Mega не является достаточным условием для получения
максимального вознаграждения. У Mega имеется три отдельных сценария для
предполагаемых злоумышленников, предполагающих взлом статичного контента,
хранилищ данных и API-серверов, требующих от атакующего демонстрации получения
доступа к пользовательским данным. Максимальная сумма выплачивается в двух
случаях. Во-первых, если злоумышленнику удалось скачать и расшифровать
определенный пользовательский файл. Во втором случае злоумышленник должен
расшифровать захэшированный пароль, содержащийся в ссылке с подтверждением
регистрации.

Подобные программы есть у Google, Mozilla и других крупных IT-компаний.