Benachrichtigung über Sicherheitslücken



Programmbedingungen

Die Teilnahme am Programm der Benachrichtigung über Sicherheitslücken ist freiwillig und verlangt, die auf dieser Seite genannten Bedingungen einzuhalten. Durch Bereitstellung der Informationen über Schwachstelle von Paysera bestätigen Sie, dass Sie die Bedingungen dieses Programms gelesen haben und damit einverstanden sind.
Die Bedingungen dieses Programms ergänzen alle andere Verträge, die Sie mit Paysera abgeschlossen haben. Bei Widersprüchen zwischen den Bedingungen der Paysera-Verträge und den Bedingungen dieses Programms haben die Bedingungen dieses Programms Vorrang, jedoch nur hinsichtlich des Programms der Benachrichtigung über Sicherheitslücken.

Anweisungen für Benachrichtigung über Sicherheitslücken

Wenn Sie der Meinung sind, dass Sie eine Sicherheitslücke von Paysera gefunden haben, informieren Sie uns per E-Mail security@paysera.com. Geben Sie die detaillierten Schritte zum Wiederherstellen des Fehlers an und beschreiben Sie kurz die Auswirkung des Fehlers. Wir fördern eine verantwortungsbewusste Offenlegung (wie unten beschrieben) und wir versprechen, alle berechtigten Mitteilungen rechtzeitig zu untersuchen und Probleme so schnell wie möglich zu lösen.

Anwendungsbereich

Der Gegenstand der Untersuchung der Sicherheitslücken können jede Paysera-Dienstleistung werden, die sensible Daten der Benutzer aufbewahrt. Dies umfasst fast alle Informationen von * .paysera.com.

Politik der verantwortungsvollen Offenlegung



Paysera sorgt für Sicherheit des Gelds, der Daten und der Kommunikationen der Benutzer, zur Föderung der verantwortungsvollen Offenlegung der Sicherheitslücken leiten wir deshalb keine rechtlichen Schritte gegen Personen ein, die unter den auf dieser Seite aufgeführten Bedingungen und den unten aufgeführten Grundsätzen die Sicherheitslücken offenlegen:

  • Nur zu Ihren eigenen Kundendaten zugehen, diese offenlegen oder ändern.
  • Keine Angriffe durchführen, die die Zuverlässigkeit oder Integrität unserer Dienstleistungen oder Daten beeinträchtigen können.
  • Abbuchungsmethoden vermeiden, die die Bedienung der anderen Kunden beeinträchtigen können (DoS-Angriffe, Spamming).
  • Informationen über Schwachstelle des Systems ständig geheim halten, bis Paysera darüber informiert und das Problem gelöst wird.
  • Nicht versuchen, zu dem Konto oder den Daten eines anderen Benutzers zuzugehen.

Bei Untersuchung der Schwachstelle der Paysera-Websiten können Sie nicht versuchen, das zu tun, was:

  • Störungen der Paysera-Systeme verursachen kann;
  • Ihnen oder einem anderen Dritten erlauben kann, zu Paysera oder ihren Kundendaten zuzugehen, diese zu speichern, teilen oder zerstören;
  • Paysera-Kunden beeinflussen kann, z. B. die Bereitstellung von Dienstleistungen durch Social Engineering oder Spamming stören kann.

Wenn Sie diese Grundsätze nicht einhalten, kann Paysera Ihr Konto beschränken, die IP-Adresse blockieren und andere rechtliche Schritte einleiten.

Wir laden Sie ein, mit Paysera-Entwicklern zusammenzuarbeiten, um Lücken zu wiederherzustellen, zu identifizieren und zu beseitigen. Um eine Belohnung zu erhalten, muss Ihre Mitteilung als angemessen anerkannt werden. Bei Bestimmung der Angemessenheit und Belohnung befolgen wir die folgenden Richtlinien.

#



#
Der Teilnehmer des Programms der Benachrichtigung über Sicherheitslücken darf:
  • nicht eine Person sein, die staatliche oder örtliche Gesätze verletzt hat;
  • nicht ein naher Verwandter der Person sein, die in Paysera, ihren Tochtergesellschaften oder Zweigniederlassungen arbeitet;
  • nicht jünger als 14 Jahre alt sein. Wenn Sie nicht jünger als 14 Jahre alt sind, aber in Ihrem Wohnort als minderjährig gelten, müssen Sie vor Teilnahme am Programm die Erlaubnis des Elternteils oder der Erziehungsberechtigten einholen.
Wenn Paysera feststellt, dass Sie die oben genannten Kriterien nicht erfüllen, werden Sie aus dem Programm der Benachrichtigung über Sicherheitslücken entfernt und wird das Recht auf Erhalt der Belohnung für Benachrichtigung über Sicherheitslücke entzogen.

Belohnung und seine Größe



Größere Bugs erhalten größere Belohnungen. Jeder Bug, der zu finanziellen Verlusten oder Datenlecken führen kann, wird als hinreichend ernst betrachtet.
Bugs, für die niedrigere Belohnung gezahlt wird, sind solche, die eine oder mehrere dieser Folgen nicht verursachen:
  • Teilweiser/vollständiger Verlust von Mitteln;
  • Leck der Benutzerinformation.;
  • Verlust der Genauigkeit der Austauschdaten.

Um eine Belohnung zu erhalten:
  • Muss der Bug original und zuvor nicht gemeldet sein;
  • Muss der Bug ein Remote-Exploit, die Ursache einer Rechteausweitung, oder ein Informationsleck sein.

Wenn zwei oder mehr Personen gleichzeitig einen Bug melden, wird die Belohnung unter ihnen aufgeteilt.
Hier sind einige Beispiele, wie man eine größere Belohnung erhalten kann:
  • Der Forscher kann Angriffe von neuen Klassen oder Methoden zur Umgehung der Sicherheitsfunktionen demonstrieren. Wenn die Formen der Ausnutzung der bestehenden Sicherheitslücke in der ergänzenden Untersuchung des Forschers gezeigt werden können, kann eine zusätzliche Belohnung für den gleichen Bug verdient werden.
  • Die Untersuchung kann auch sehr ernste, komplexe oder interessante Problembereiche aufdecken, die bisher unbekannt waren oder nicht gemeldet wurden.

Belohnungen, falls es diese gibt, werden von Paysera bestimmt, nach Payseras eigenem Ermessen. In keinem Fall ist Paysera verpflichtet, eine Belohnung für irgendeine Mitteilung zu zahlen. Alle Belohnungen können nur in Euro auf ein identifiziertes Paysera Konto gezahlt werden. Die Belohnung kann auch an Greenpeace, dem Roten Kreuz, oder Caritas Organisationen überwiesen werden. Die Überweisung der Belohnung in Kryptowährung oder an andere auf dieser Seite nicht erwähnte Zahlungssysteme sind nicht möglich.
Bei Bestimmung der Größe der Belohnung beruht Paysera auf der Schwere des Risikos und der Auswirkung der Sicherheitslücke.

#

Beispiele für Schwachstellen



Beispiele für qualifizierte Schwachstellen
Paysera behält sich das Recht vor, zu entscheiden, ob die Mindestqualifikationsgrenze der Schwere überschritten wurde sowie ob eine Lücke früher gemeldet wurde.
  • Umgehung der Authentifizierung oder Rechteausweitung.
  • Clickjacking (wenn der Benutzer gezwungen wird, auf die maskierten Elemente einer Webseite zu klicken).
  • Cross-site scripting (XSS) (Schwachstelle, die es ermöglicht, einen zusätzlichen Programmcode in eine vom Benutzer angezeigte Seite einzufügen).
  • Website-übergreifende Anfragenfälschung (CSRF/XSRF).
  • Skripte gemischter Inhalte.
  • Serverseitige Codeausführung.
  • Verletzung der Benutzerdaten.
  • Remotecodeausführung.
Beispiele für unqualifizierte Schwachstellen
Die Benachrichtigungen über diese Schwachstellen werden von Paysera ausgewertet, jedoch nicht regelmäßig belohnt:
  • Dienstverweigerungsschwachstelle (DoS) oder Probleme im Zusammenhang mit Beschränkung der Norm.
  • Möglichkeit, bösartige Links an Personen zu senden, die Sie kennen.
  • Sicherheitslücken von Dritten auf Websites, die mit Paysera API integriert sind.
  • Verstöße im Zusammenhang mit Software (z. B. Java, Plugins, Erweiterungen) oder Websites von Dritten, es sei denn, sie verursachen eine Schwachstelle auf der Paysera-Website.
  • Spam (einschließlich Fälle im Zusammenhang mit SPF/DKIM/DMARC).
  • Nutzungsprobleme, automatisch ausgefüllte Formulare.
  • Unsichere Cookie-Einstellungen.
  • Browser-Cache-Schwachstelle.
  • Schwachstellen (einschließlich XSS), die ein potentielles Opfer dazu zwingen, nicht standardmäßige Software zu installieren oder andere sehr unwahrscheinliche aktive Schritte zu ergreifen, um selbst beeinflusst zu werden.
  • Nichttechnische Angriffe wie Social Engineering, Betrug oder physische Angriffe gegen unsere Mitarbeiter, Benutzer oder Infrastruktur.
  • Verstöße (einschließlich XSS), die nur veraltete Browser/Plugins betreffen.
  • Self-XSS (wenn der Benutzer bösartigen Code zufällig in seine Website installiert).
  • CSRF für nicht wesentliche Handlungen (Abmeldung usw.).
  • Clickjacking-Angriffe ohne registrierte Klickserien, die die Schwachstelle verursachen.
  • Hochladen von Inhalten, z. B. reflektierter Text oder HTML-Tags.
  • Es gibt keine HTTP-Header, es sei denn, wegen ihrer Abwesenheit kann der Angriff nicht abgewehrt werden.
  • Umgehungen der Authentifizierung, die Zugang zu Software oder Hardware erfordern.
  • Schwachstellen, die Zugang zu Passwörtern, Tags oder lokalen Systemen erfordern (z. B. Sitzungsfixierung).
  • Vorhersehbare Schwachstellen, die nur auf Versionsnummern basieren.
  • Lücken, die sehr unwahrscheinliche Handlungen des Benutzers erfordern.
  • Offenlegung von öffentlichen Informationen und Informationen, die nicht sehr wichtig sind.
  • Programmaufzeichnungshandlungen oder andere Zwangshandlungen für beabsichtigte Funktionalität.
  • Anfragen, die gegen die Same-Origin-Policy ohne bestimmtes Angriffsszenario verstoßen (z. B. wenn CORS verwendet wird und die Authentifizierung nicht durch Cookies ausgelöst wird oder sie nicht mit Anfragen gesendet werden).

Informationen in der Mitteilung



#
Bei Bereitstellung der Informationen über Sicherheitslücke geben Sie an:
  • ausführliche Beschreibung der Lücke, einschließlich Nutzungsmöglichkeiten und Auswirkungen;
  • jeden Schritt zum Wiederherstellen der Nutzungsmöglichkeit des Fehlers;
  • betroffene URLs, Apps (auch wenn Sie uns ein Code-Snippet oder Video bereitgestellt haben);
  • IP-Adressen, die bei der Untersuchung verwendet wurden;
  • immer die Benutzer-ID, die für POC verwendet wird;
  • immer alle Dateien, die Sie hochladen wollten;
  • vollständiges PoC;
  • speichern Sie alle Angriffsprotokolle und hängen Sie der Mitteilung an.

Wenn Sie einen dieser Punkte nicht angeben, kann die Belohnung nicht gezahlt oder verzögert werden.
Informieren Sie uns über Lücken per E-Mail security@paysera.com.


Anmerkung! Wir können nicht sanktionierte Personen oder Staatangehörige der Länder, die in die Liste der sanktionierten Länder eingetragen sind (Kuba, Iran, Nordkorea, Sudan, Syrien), belohnen. Sie sind verantwortlich für jegliche Gebühren, abhängig von Ihrem Land und Ihrer Staatsangehörigkeit. Abhängig von Ihren lokalen Gesetzen können zusätzliche Einschränkungen bestehen, die Sie daran hindern, am Programm teilzunehmen.

Dies ist kein Wettbewerb, sondern ein experimentelles und diskretionäres Belohnungsprogramm. Bitte beachten Sie, dass wir das Programm jederzeit beenden können.

Häufig gestellte Fragen



Was muss ich tun, wenn ich eine Lücke finde, aber nicht weiß, wie sie ausgenutzt werden kann?
Wir glauben, dass die Überprüfung der Lücke ein sehr wichtiger Schritt bei Untersuchung der Schwachstelle ist, und wir hoffen, dass die uns gesendeten Mitteilungen über Lücken ein begründetes Angriffsszenarium enthalten werden und Sie eine Belohnung erhalten können. Die Höhe der Belohnung wird auf Grundlage der maximalen Auswirkung festgelegt. Die Kommission ist bereit, die Höhe der Belohnung zu überprüfen, wenn neue Informationen über mögliche Schwere der Auswirkung vorliegen (z. B. die Fehlerkette oder ein überprüftes Angriffsszenarium).
Wie kann ich die Schwere der Lücke zeigen, wenn ich nicht das Recht habe, die Regeln zu verletzen?
Wenn Sie eine potenzielle Sicherheitsbedrohung bemerkt haben, teilen Sie uns dies so schnell wie möglich mit. Die Kommission wird die maximalen Auswirkungen bewerten und die angemessene Belohnung festlegen. Wir zahlen regelmäßig eine höhere Belohnung für gut geschriebene und nützliche Mitteilungen, wenn der Forscher die Auswirkungen bestimmter Lücke nicht bemerkt oder unterschätzt hat.