Programme de Bug Bounty
Programme de Bug Bounty
Conditions du programme
Veuillez noter que votre participation au programme Bug Bounty est volontaire et soumise aux termes et conditions énoncés sur cette page. En soumettant une vulnérabilité de site web ou de produit à Paysera, vous reconnaissez avoir lu et accepté les présentes Conditions du programme.Les présentes Conditions du programme complètent les conditions de tout autre accord que vous avez conclu avec Paysera. En cas d'incohérence entre les termes des accords Paysera et les présentes Conditions du programme, les présentes Conditions du programme prévaudront, mais uniquement en ce qui concerne le Programme de primes aux bugs.
Directives pour le signalement des problèmes de sécurité
Si vous pensez avoir trouvé une faille de sécurité dans Paysera, veuillez nous la signaler par e-mail à security@paysera.com. Veuillez inclure les étapes détaillées pour reproduire le bug et une brève description de l'impact. Nous encourageons la divulgation responsable (comme décrit ci-dessous), et nous promettons d'examiner tous les rapports légitimes en temps opportun et de corriger les problèmes dès que possible.
Services couverts
Tous les services Paysera qui traitent des données raisonnablement sensibles des utilisateurs sont concernés. Cela inclut pratiquement tout le contenu des domaines suivants: *.paysera.com
Politique de divulgation responsable
La sécurité des fonds, des données et des communications des utilisateurs est une priorité absolue pour Paysera. Afin d'encourager une divulgation responsable, nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui signalent le problème, à condition qu'ils respectent les principes d'une divulgation responsable, qui incluent, mais ne sont pas limités à :
- N'accédez, ne divulguez ou ne modifiez que les données de vos propres clients.
- N'effectuez aucune attaque qui pourrait nuire à la fiabilité ou à l'intégrité de nos services ou de nos données.
- Éviter les techniques de balayage susceptibles d'entraîner une dégradation du service pour les autres clients. (DoS, spamming).
- Gardez toujours secrets les détails des vulnérabilités jusqu'à ce que Paysera ait été notifié et ait corrigé le problème.
- N'essayez pas d'accéder au compte ou aux données d'un autre utilisateur.
En recherchant des vulnérabilités sur le site web de Paysera, vous ne devez pas vous engager dans ce qui suit :
- Résultats de la dégradation des systèmes Paysera.
- Vous amener, vous ou un tiers, à accéder, stocker, partager ou détruire des données de Paysera ou de ses clients.
- Les activités qui peuvent avoir un impact sur les clients de Paysera, telles que le déni de service, l'ingénierie sociale ou le spam.
Nous pouvons suspendre votre compte et bannir votre IP, si vous ne respectez pas ces principes.
Nous vous demandons d'être disponible pour suivre et fournir de plus amples informations sur le bogue, et nous vous invitons à collaborer avec les développeurs de Paysera pour reproduire, diagnostiquer et corriger le bogue. Nous utilisons les lignes directrices suivantes pour déterminer l'éligibilité des demandes et le montant de la récompense.
Eligibilité
- Être en violation de toute loi ou réglementation nationale, étatique ou locale.
- Être un membre de la famille immédiate d'une personne employée par Paysera, ou ses filiales ou sociétés affiliées.
- Être âgé de moins de 14 ans. Si vous avez au moins 14 ans, mais que vous êtes considéré comme mineur dans votre lieu de résidence, vous devez obtenir une autorisation signée par vos parents ou tuteurs légaux avant de participer au programme.
Montant de la récompense
En général, les vulnérabilités qui peuvent être moins récompensées sont celles qui ne provoquent pas un ou plusieurs des résultats suivants:
- Perte partielle/complète de fonds.
- Fuite d'informations sur les utilisateurs.
- Perte d'exactitude des données d'échange.
Afin de recevoir la prime:
- Le bug de sécurité doit être original et non signalé auparavant.
- Le bug de sécurité doit être un exploit à distance, la cause d'une élévation de privilèges ou d'une fuite d'informations.
Si deux personnes ou plus signalent le bug ensemble, la récompense sera divisée entre elles.
Voici quelques exemples de la manière de recevoir une récompense plus élevée:
- Le chercheur peut démontrer de nouvelles classes d'attaques ou des techniques de contournement des dispositifs de sécurité. Ou, s'il est possible de démontrer qu'une vulnérabilité existante est exploitable grâce à des recherches supplémentaires effectuées par le rapporteur, une compensation supplémentaire peut être obtenue pour le même bogue.
- La recherche peut également permettre de découvrir des problèmes extrêmement graves, complexes ou intéressants qui n'avaient pas été signalés auparavant ou qui étaient inconnus
Les paiements de primes, le cas échéant, seront déterminés par Paysera, à sa seule discrétion. En aucun cas, Paysera ne sera obligée de vous verser une prime pour une quelconque Soumission. Tous les paiements de primes ne peuvent être effectués qu'en euros sur un compte Paysera identifié. La prime peut également être transférée aux organisations Greenpeace, la Croix Rouge ou Caritas.
Paysera ne paie pas de primes en crypto-monnaies ou vers d'autres systèmes de paiement, qui ne sont pas mentionnés sur cette page.
Pour déterminer le montant du paiement, Paysera prendra en compte le niveau de risque et l'impact de la vulnérabilité.
Exemples de vulnérabilités
Paysera se réserve le droit de décider si le seuil minimal de qualification de la gravité est atteint et s'il a déjà été signalé.
- Contournement d'authentification ou escalade de privilèges.
- Clickjacking.
- Scripting intersite (XSS).
- Falsification de requête intersite (CSRF/XSRF).
- Scripts à contenu mixte.
- Exécution de code côté serveur.
- Violation des données des utilisateurs.
- Exécution de code à distance.
Signaler les vulnérabilités suivantes est apprécié mais ne donnera pas lieu à une récompense systématique de Paysera.
- vulnérabilités de déni de service (DoS).
- Possibilités d'envoyer des liens malveillants à des personnes que vous connaissez.
- Des bogues de sécurité dans les sites Web de tiers qui intègrent l'API Paysera.
- Les vulnérabilités liées à un logiciel tiers (par exemple Java, plugins, extensions) ou à un site web, sauf si elles conduisent à une vulnérabilité du site web de Paysera.
- SSpam (y compris les questions liées à SPF/DKIM/DMARC).
- Problèmes de convivialité, autocomplétion des formulaires.
- Paramètres non sécurisés dans les cookies non sensibles.
- Vulnérabilités du cache du navigateur.
- Les vulnérabilités (y compris XSS) qui obligent une victime potentielle à installer un logiciel non standard ou à prendre des mesures actives très improbables pour se rendre vulnérable.
- Les attaques non techniques telles que l'ingénierie sociale, le phishing ou les attaques physiques contre nos employés, nos utilisateurs ou notre infrastructure.
- Vulnérabilités (y compris XSS) qui n'affectent que les anciens navigateurs / plugins.
- Self-XSS.
- CSRF pour les actions non significatives (déconnexion, etc.).
- Les attaques de type "clickjacking" sans une série de clics documentés qui produisent une vulnérabilité.
- Injection de contenu, tel que du texte réfléchi ou des balises HTML.
- En-têtes HTTP manquants, sauf lorsque leur absence ne permet pas d'atténuer une attaque existante.
- Contournements d'authentification nécessitant l'accès à des jetons logiciels / matériels.
- Les vulnérabilités qui nécessitent un accès aux mots de passe, aux jetons ou au système local (par exemple, la fixation de session).
- Vulnérabilités présumées basées uniquement sur les numéros de version.
- Bugs nécessitant une interaction très improbable avec l'utilisateur.
- Divulgation d'informations publiques et d'informations qui ne présentent pas de risque significatif.
- Scripting ou autre automatisation et forçage brutal de la fonctionnalité prévue.
- Requêtes violant la politique de l'origine commune sans scénario d'attaque concret (par exemple, en cas d'utilisation de CORS, et si les cookies ne sont pas utilisés pour l'authentification ou s'ils ne sont pas envoyés avec les requêtes).
Informations requises
- Description complète de la vulnérabilité signalée, y compris son exploitabilité et son impact.
- Documenter toutes les étapes nécessaires pour reproduire l'exploitation de la vulnérabilité.
- URL(s)/application(s) concernée(s) par la soumission (même si vous nous avez également fourni un extrait de code/vidéo).
- IPs qui ont été utilisées pendant le test.
- Toujours inclure l'ID utilisateur qui est utilisé pour le CEP.
- Incluez toujours tous les fichiers que vous avez tenté de télécharger.
- Fournissez le PoC complet pour votre soumission.
- Veuillez sauvegarder tous les journaux d'attaque et les joindre à la soumission.
Le fait de ne pas inclure l'un des éléments ci-dessus peut retarder ou compromettre le paiement de la prime.
Signalez-le nous en envoyant un email à security@paysera.com.
Il ne s'agit pas d'un concours, mais d'un programme de récompenses expérimental et discrétionnaire. Vous devez comprendre que nous pouvons annuler le programme à tout moment.
Questions Fréquemment Posées
Nous nous attendons à ce que les rapports de vulnérabilité qui nous sont envoyés comportent un scénario d'attaque valide pour pouvoir prétendre à une récompense, et nous considérons qu'il s'agit d'une étape critique dans la recherche de vulnérabilités. Les montants des récompenses sont décidés en fonction de l'impact maximal de la vulnérabilité, et le panel est prêt à reconsidérer un montant de récompense, sur la base de nouvelles informations (comme une chaîne de bugs, ou un scénario d'attaque révisé).
Veuillez soumettre votre rapport dès que vous avez découvert un problème de sécurité potentiel. Le jury tiendra compte de l'impact maximal et choisira la récompense en conséquence. Nous payons régulièrement des récompenses plus élevées pour des soumissions par ailleurs bien écrites et utiles où le journaliste n'a pas remarqué ou n'a pas pu analyser pleinement l'impact d'une faille particulière.