Paysera

Programme de Bug Bounty

Notre équipe de développeurs travaille en permanence pour assurer la sécurité des informations des clients. En même temps, nous comprenons le rôle important que jouent les chercheurs en sécurité et notre communauté d'utilisateurs pour aider à garder les données des clients en sécurité. Si vous découvrez une vulnérabilité d'un site Web ou d'un produit, veuillez nous en informer en suivant les directives ci-dessous.

Programme de Bug Bounty

Conditions du programme

Veuillez noter que votre participation au programme Bug Bounty est volontaire et soumise aux termes et conditions énoncés sur cette page. En soumettant une vulnérabilité de site web ou de produit à Paysera, vous reconnaissez avoir lu et accepté les présentes Conditions du programme.
Les présentes Conditions du programme complètent les conditions de tout autre accord que vous avez conclu avec Paysera. En cas d'incohérence entre les termes des accords Paysera et les présentes Conditions du programme, les présentes Conditions du programme prévaudront, mais uniquement en ce qui concerne le Programme de primes aux bugs.

Directives pour le signalement des problèmes de sécurité

Si vous pensez avoir trouvé une faille de sécurité dans Paysera, veuillez nous la signaler par e-mail à security@paysera.com. Veuillez inclure les étapes détaillées pour reproduire le bug et une brève description de l'impact. Nous encourageons la divulgation responsable (comme décrit ci-dessous), et nous promettons d'examiner tous les rapports légitimes en temps opportun et de corriger les problèmes dès que possible.

Services couverts

Tous les services Paysera qui traitent des données raisonnablement sensibles des utilisateurs sont concernés. Cela inclut pratiquement tout le contenu des domaines suivants: *.paysera.com

Politique de divulgation responsable

La sécurité des fonds, des données et des communications des utilisateurs est une priorité absolue pour Paysera. Afin d'encourager une divulgation responsable, nous ne poursuivrons pas d'actions en justice contre les chercheurs qui signalent le problème, à condition qu'ils suivent les principes d'une divulgation responsable qui incluent, mais ne sont pas limités à:

  • Accédez, divulguez ou modifiez uniquement les données de vos propres clients.
  • Ne pas effectuer d'attaque susceptible de nuire à la fiabilité ou à l'intégrité de nos services ou de nos données.
  • Évitez les techniques de balayage susceptibles de provoquer une dégradation du service pour les autres clients. (DoS, spamming).
  • Gardez toujours secrets les détails des vulnérabilités jusqu'à ce que Paysera ait été informée et ait corrigé le problème.
  • Ne tentez pas d'accéder au compte ou aux données d'un autre utilisateur.

Lors de la recherche de vulnérabilités sur le site web de Paysera, vous ne devez pas vous engager dans les activités suivantes:

  • Entraîne une dégradation des systèmes Paysera.
  • Avoir pour conséquence que vous, ou tout autre tiers, accédiez, stockiez, partagez ou détruisiez les données de Paysera ou des clients.
  • Activités susceptibles d'avoir un impact sur les clients de Paysera, telles que le déni de service, l'ingénierie sociale ou le spam.

Nous pouvons suspendre votre compte et bannir votre IP si vous ne respectez pas ces principes.

Nous vous demandons d'être disponible pour suivre et fournir de plus amples informations sur le bug, et nous vous invitons à collaborer avec les développeurs de Paysera pour reproduire, diagnostiquer et corriger le bug. Nous utilisons les directives suivantes pour déterminer l'admissibilité des demandes et le montant de la récompense.

#

Eligibilité

#
Pour être éligible au programme Bug Bounty, vous doit pas:
  • Être en violation de toute loi ou réglementation nationale, étatique ou locale.
  • Être un membre de la famille immédiate d'une personne employée par Paysera, ou ses filiales ou sociétés affiliées.
  • Être âgé de moins de 14 ans. Si vous avez au moins 14 ans, mais que vous êtes considéré comme mineur dans votre lieu de résidence, vous devez obtenir une autorisation signée par vos parents ou tuteurs légaux avant de participer au programme.
Si Paysera découvre que vous ne répondez pas à l'un des critères ci-dessus, Paysera vous retirera du programme Bug Bounty et vous empêchera de recevoir tout paiement de prime.

Montant de la récompense

Les bugs plus graves seront récompensés de manière plus importante. Tout bogue qui présente un potentiel de perte financière ou de violation de données est d'une gravité suffisante.
En général, les vulnérabilités qui peuvent être moins récompensées sont celles qui ne provoquent pas un ou plusieurs des résultats suivants:
  • Perte partielle/complète de fonds.
  • Fuite d'informations sur les utilisateurs.
  • Perte d'exactitude des données d'échange.

Afin de recevoir la prime:
  • Le bug de sécurité doit être original et non signalé auparavant.
  • Le bug de sécurité doit être un exploit à distance, la cause d'une élévation de privilèges ou d'une fuite d'informations.

Si deux personnes ou plus signalent le bug ensemble, la récompense sera divisée entre elles.
Voici quelques exemples de la manière de recevoir une récompense plus élevée:
  • Le chercheur peut démontrer de nouvelles classes d'attaques ou des techniques de contournement des dispositifs de sécurité. Ou, s'il est possible de démontrer qu'une vulnérabilité existante est exploitable grâce à des recherches supplémentaires effectuées par le rapporteur, une compensation supplémentaire peut être obtenue pour le même bogue.
  • La recherche peut également permettre de découvrir des problèmes extrêmement graves, complexes ou intéressants qui n'avaient pas été signalés auparavant ou qui étaient inconnus

Les paiements de primes, le cas échéant, seront déterminés par Paysera, à sa seule discrétion. En aucun cas, Paysera ne sera obligée de vous verser une prime pour une quelconque Soumission. Tous les paiements de primes ne peuvent être effectués qu'en euros sur un compte Paysera identifié. La prime peut également être transférée aux organisations Greenpeace, la Croix Rouge ou Caritas. Paysera ne paie pas de primes en crypto-monnaies ou vers d'autres systèmes de paiement, qui ne sont pas mentionnés sur cette page.
Pour déterminer le montant du paiement, Paysera prendra en compte le niveau de risque et l'impact de la vulnérabilité.

#

Exemples de vulnérabilités

Exemples de vulnérabilités qualifiantes
Paysera se réserve le droit de décider si le seuil minimal de qualification de la gravité est atteint et s'il a déjà été signalé.
  • Contournement d'authentification ou escalade de privilèges.
  • Clickjacking.
  • Scripting intersite (XSS).
  • Falsification de requête intersite (CSRF/XSRF).
  • Scripts à contenu mixte.
  • Exécution de code côté serveur.
  • Violation des données des utilisateurs.
  • Exécution de code à distance.
Exemples de vulnérabilités non qualifiantes
Signaler les vulnérabilités suivantes est apprécié mais ne donnera pas lieu à une récompense systématique de Paysera.
  • vulnérabilités de déni de service (DoS).
  • Possibilités d'envoyer des liens malveillants à des personnes que vous connaissez.
  • Des bogues de sécurité dans les sites Web de tiers qui intègrent l'API Paysera.
  • Les vulnérabilités liées à un logiciel tiers (par exemple Java, plugins, extensions) ou à un site web, sauf si elles conduisent à une vulnérabilité du site web de Paysera.
  • SSpam (y compris les questions liées à SPF/DKIM/DMARC).
  • Problèmes de convivialité, autocomplétion des formulaires.
  • Paramètres non sécurisés dans les cookies non sensibles.
  • Vulnérabilités du cache du navigateur.
  • Les vulnérabilités (y compris XSS) qui obligent une victime potentielle à installer un logiciel non standard ou à prendre des mesures actives très improbables pour se rendre vulnérable.
  • Les attaques non techniques telles que l'ingénierie sociale, le phishing ou les attaques physiques contre nos employés, nos utilisateurs ou notre infrastructure.
  • Vulnérabilités (y compris XSS) qui n'affectent que les anciens navigateurs / plugins.
  • Self-XSS.
  • CSRF pour les actions non significatives (déconnexion, etc.).
  • Les attaques de type "clickjacking" sans une série de clics documentés qui produisent une vulnérabilité.
  • Injection de contenu, tel que du texte réfléchi ou des balises HTML.
  • En-têtes HTTP manquants, sauf lorsque leur absence ne permet pas d'atténuer une attaque existante.
  • Contournements d'authentification nécessitant l'accès à des jetons logiciels / matériels.
  • Les vulnérabilités qui nécessitent un accès aux mots de passe, aux jetons ou au système local (par exemple, la fixation de session).
  • Vulnérabilités présumées basées uniquement sur les numéros de version.
  • Bugs nécessitant une interaction très improbable avec l'utilisateur.
  • Divulgation d'informations publiques et d'informations qui ne présentent pas de risque significatif.
  • Scripting ou autre automatisation et forçage brutal de la fonctionnalité prévue.
  • Requêtes violant la politique de l'origine commune sans scénario d'attaque concret (par exemple, en cas d'utilisation de CORS, et si les cookies ne sont pas utilisés pour l'authentification ou s'ils ne sont pas envoyés avec les requêtes).

Informations requises

#
Pour toutes les soumissions, veuillez inclure:
  • Description complète de la vulnérabilité signalée, y compris son exploitabilité et son impact.
  • Documenter toutes les étapes nécessaires pour reproduire l'exploitation de la vulnérabilité.
  • URL(s)/application(s) concernée(s) par la soumission (même si vous nous avez également fourni un extrait de code/vidéo).
  • IPs qui ont été utilisées pendant le test.
  • Toujours inclure l'ID utilisateur qui est utilisé pour le CEP.
  • Incluez toujours tous les fichiers que vous avez tenté de télécharger.
  • Fournissez le PoC complet pour votre soumission.
  • Veuillez sauvegarder tous les journaux d'attaque et les joindre à la soumission.

Le fait de ne pas inclure l'un des éléments ci-dessus peut retarder ou compromettre le paiement de la prime.
Signalez-le nous en envoyant un email à security@paysera.com.
Nous ne sommes pas en mesure d'attribuer des récompenses à des personnes figurant sur des listes de sanctions ou se trouvant dans des pays (par exemple, Cuba, Iran, Corée du Nord, Soudan, Syrie) figurant sur des listes de sanctions. Vous êtes responsable de toute implication fiscale en fonction de votre pays de résidence et de votre citoyenneté. Il peut y avoir des restrictions supplémentaires sur votre capacité à participer en fonction de votre législation locale

Il ne s'agit pas d'un concours, mais plutôt d'un programme de récompenses expérimental et discrétionnaire. Vous devez comprendre que nous pouvons annuler le programme à tout moment.

Questions Fréquemment Posées

Que faire si j'ai trouvé une vulnérabilité, mais que je ne sais pas comment l'exploiter?
Nous nous attendons à ce que les rapports de vulnérabilité qui nous sont envoyés comportent un scénario d'attaque valide pour pouvoir prétendre à une récompense, et nous considérons qu'il s'agit d'une étape critique dans la recherche de vulnérabilités. Les montants des récompenses sont décidés en fonction de l'impact maximal de la vulnérabilité, et le panel est prêt à reconsidérer un montant de récompense, sur la base de nouvelles informations (comme une chaîne de bugs, ou un scénario d'attaque révisé).
Comment puis-je démontrer la gravité du bug si je ne suis pas censé fouiner?
Veuillez soumettre votre rapport dès que vous avez découvert un problème de sécurité potentiel. Le jury tiendra compte de l'impact maximal et choisira la récompense en conséquence. Nous payons régulièrement des récompenses plus élevées pour des soumissions par ailleurs bien écrites et utiles où le journaliste n'a pas remarqué ou n'a pas pu analyser pleinement l'impact d'une faille particulière.
Become a follower