Файлообменник Mega начал платить за баги и уже устранил 7 уязвимостей

Файлообменный сервис Кима Доткома Mega ранее запустил программу вознаграждения за информацию об уязвимостях в программном обеспечении Mega. Чуть позже в Mega заявили, что готовы выплачивать до 10 000 евро за информацию о каждом баге, связанном с безопасностью сайта.

В минувшие выходные сервис сообщил о первых участниках программы, предоставивших данные о багах. Как оказалось, получателей денег стало сразу 7. В блоге Mega говорится, что компания исправила указанные 7 багов, выплатив причитающееся вознаграждение получателям. Впрочем, никакой информации о получателях и размере выплат в Mega так и не предоставили. Одновременно с описанием самих багов, Дотком в блоге начал разделять уязвимости в Mega на шесть уровней опасности: от «исключительно теоретических сценариев» до «фундаментальных проблем в архитектуре». Полностью список уязвимостей выглядит следующим образом:

  • Class IV — «Cryptographic design flaws that can be exploited only after compromising server infrastructure (live or post-mortem)»
  • Class III — «Generally exploitable remote code execution on client browsers (cross-site scripting)»
  • Class II — «Cross-site scripting that can be exploited only after compromising the API server cluster or successfully mounting a man-in-the-middle attack»
  • Class I — «All lower-impact or purely theoretical scenarios»