برنامج مكافآت الثغرات

يعمل فريق المطورين لدينا باستمرار للحفاظ على أمان معلومات العميل. وفي الوقت نفسه، ندرك الدور المهم الذي يلعبه باحثو الأمن ومجتمع مستخدمينا في المساعدة على الحفاظ على أمان بيانات العملاء. إذا اكتشفت ثغرة أمنية في أحد مواقعنا الإلكترونية أو منتجاتنا، يرجى إبلاغنا باستخدام الإرشادات أدناه.

برنامج مكافآت الثغرات

شروط وأحكام البرنامج

يُرجى ملاحظة أن مشاركتك في برنامج مكافآت الثغرات هي مشاركة طوعية وتخضع للشروط والأحكام المنصوص عليها في هذه الصفحة. بتقديمك لثغرة أمنية في موقع إلكتروني أو منتج تابع لـ Paysera، فإنك تقر بأنك قد قرأت ووافقت على شروط وأحكام هذا البرنامج.
تكمل شروط وأحكام هذا البرنامج شروط أي اتفاقية أخرى أبرمتها مع Paysera. في حال وجود أي تعارض بين شروط اتفاقيات Paysera وشروط وأحكام هذا البرنامج، تسود الأخيرة فيما يتعلق ببرنامج مكافآت الثغرات فقط.

إرشادات الإبلاغ عن المشكلات الأمنية

إذا كنت تعتقد أنك اكتشفت ثغرة أمنية في Paysera، يُرجى إبلاغنا بها عن طريق البريد الإلكتروني: [email protected]. يُرجى تضمين خطوات مفصلة لإعادة إنتاج المشكلة ووصف موجز لتأثيرها المحتمل. نحن نشجع الكشف المسؤول (كما هو موضح أدناه) ونتعهد بالتحقيق في جميع التقارير المشروعة على الفور، ومعالجة أي مشكلات مؤكدة في أقرب وقت ممكن.

الخدمات المشمولة بالنطاق

تُعتبر أي خدمة تابعة لـ Paysera تقوم بمعالجة بيانات المستخدمين الحساسة بشكل معقول ضمن النطاق. ويشمل ذلك، على سبيل المثال لا الحصر، جميع المحتوى تقريباً ضمن النطاقات التالية: *.paysera.com.

سياسة الإفصاح المسؤول

يُعد أمان أموال المستخدمين وبياناتهم واتصالاتهم أولوية قصوى في Paysera. ولتشجيع الإفصاح المسؤول، لن نتخذ إجراءات قانونية ضد الباحثين الذين يحددون الثغرات الأمنية، شريطة التزامهم بمبادئ الإفصاح المسؤول، والتي تشمل، على سبيل المثال لا الحصر، ما يلي:

الوصول إلى بيانات العميل الخاصة بك أو الكشف عنها أو تعديلها فقط.

عدم تنفيذ أي هجوم قد يضر بموثوقية أو سلامة خدماتنا أو بياناتنا.

تجنب تقنيات المسح التي من المحتمل أن تسبب تدهوراً في الخدمة للعملاء الآخرين (مثل هجمات حجب الخدمة DoS، أو إرسال الرسائل المزعجة "Spamming").

الحفاظ دائماً على سرية تفاصيل الثغرات الأمنية حتى يتم إخطار Paysera وإصلاح المشكلة.

عدم محاولة الوصول إلى حساب أو بيانات مستخدم آخر.

عند البحث عن الثغرات الأمنية في موقع Paysera، يُمنع منعاً باتاً ما يلي:

تنفيذ إجراءات يمكن أن تعطل أو تؤثر على تشغيل أنظمة Paysera؛

محاولة الوصول غير القانوني إلى بيانات Paysera أو عملائها، أو نسخها، أو توزيعها، أو تدميرها، سواء بشكل مستقل أو من خلال أطراف ثالثة؛

إلحاق الضرر بعملاء Paysera، بما في ذلك تعطيل تقديم الخدمة، أو استخدام أساليب الهندسة الاجتماعية، أو إرسال رسائل غير مرغوب فيها.

إذا لم تلتزم بهذه المبادئ، يجوز لـ Paysera تقييد حسابك، وحظر عنوان IP الخاص بك، واتخاذ إجراءات قانونية أخرى.
ندعوك للعمل مع مطوري Paysera في إعادة إنتاج المشكلة وتشخيصها وإصلاحها. نحن نستخدم الإرشادات التالية لتحديد أهلية الطلبات ومبلغ المكافأة.

الأهلية

لا يُعتبر الشخص مؤهلاً للمشاركة في برنامج مكافآت الثغرات إذا كان:

قد انتهك أي قوانين وطنية أو محلية؛

من أفراد العائلة المقربين لموظف في Paysera، أو إحدى شركاتها التابعة، أو فروعها؛

يقل عمره عن 14 عاماً. إذا كان عمرك 14 عامًا على الأقل، ولكنك تعتبر قاصرًا في مكان إقامتك، يجب عليك الحصول على إذن موقع من والديك أو الأوصياء القانونيين قبل المشاركة في البرنامج.

إذا اكتشفت Paysera أنك لا تستوفي أياً من المعايير المذكورة أعلاه، فستقوم Paysera بإزالتك من برنامج مكافآت الثغرات وستحرمك من الحصول على أي مدفوعات مكافأة.

مبلغ المكافأة

تُمنح المكافآت بناءً على خطورة الثغرة الأمنية. كلما كانت الثغرة أكثر أهمية، زادت المكافأة المقدمة للإبلاغ عنها. تُعتبر الثغرات التي قد تؤدي إلى خسارة مالية أو المساس بأمن البيانات بالغة الأهمية بشكل خاص.

تُمنح مكافأة أصغر للثغرات التي لا تسبب النتائج التالية:

فقدان جزئي/كلي للأموال؛

تسريب بيانات المستخدمين؛

المساس بسلامة نقل البيانات.

في جميع الحالات، حافظ على سرية المعلومات المتعلقة بثغرات النظام حتى يتم إخطار Paysera وحل المشكلة.

لا تحاول الوصول إلى حساب أو بيانات مستخدم آخر.

لكي تكون مؤهلاً للحصول على مكافأة، يجب أن تستوفي الثغرة الأمنية المعايير التالية:

يجب أن تكون أصلية ولم يتم الإبلاغ عنها مسبقاً؛

إظهار ثغرة أمنية في النظام عن بُعد، أو إمكانية تصعيد الامتيازات، أو خطر الكشف عن معلومات سرية.

إذا أبلغ عدة أفراد عن نفس الثغرة الأمنية في نفس الوقت، فسيتم تقسيم المكافأة بينهم بالتناسب.
يمكن منح مكافأة أعلى في الحالات التالية:

تمكن الباحث من إثبات فئات جديدة من الهجمات، أو تقنيات لتجاوز ميزات الأمان. أو، إذا أمكن إثبات أن ثغرة موجودة قابلة للاستغلال من خلال بحث إضافي أجراه المُبلِغ، يمكن الحصول على تعويض إضافي لنفس الثغرة.

قد يكشف البحث أيضاً عن مناطق مشكلة شديدة التعقيد أو مثيرة للاهتمام للغاية لم يتم الإبلاغ عنها مسبقاً أو كانت قضايا غير معروفة.

إذا استوفى التقرير جميع متطلبات البرنامج، فسيتم تحديد مدفوعات المكافأة من قبل Paysera، وفقًا لتقديرها المطلق. لا تكون Paysera ملزمة بأي حال من الأحوال بدفع مكافأة للتقارير التي تقع خارج نطاق برنامج مكافآت الثغرات. يمكن إجراء جميع مدفوعات المكافآت باليورو فقط إلى حساب Paysera محدد. يمكن أيضاً تحويل المكافأة إلى منظمات غرينبيس أو الصليب الأحمر أو كاريتاس بناءً على طلب الباحث. لا يتم دعم الدفعات عبر العملات المشفرة أو أنظمة الدفع الأخرى غير المذكورة في هذه الصفحة.

عند تحديد مبلغ المكافأة، تقوم Paysera بتقييم الخطر الذي تشكله الثغرة الأمنية والتأثير المحتمل الذي قد تحدثه.

أمثلة على الثغرات الأمنية

أمثلة على الثغرات المؤهلة

تحتفظ Paysera بالحق في تحديد ما إذا كان الحد الأدنى لخطورة التأهيل قد تم استيفاؤه وما إذا كان قد تم الإبلاغ عن الثغرة مسبقاً.

تجاوز المصادقة (Authentication bypass) أو تصعيد الامتيازات (privilege escalation).
« Clickjacking » (عندما يتم خداع المستخدم للنقر على عناصر مخفية أو مموهة في صفحة ويب).
« Cross-site scripting (XSS) » (ثغرة تسمح بحقن كود إضافي في صفحة ويب يراها المستخدمون)
تزوير الطلبات عبر المواقع (CSRF/XSRF)
نصوص برمجية ذات محتوى مختلط (Mixed-content scripts)
تنفيذ الكود من جانب الخادم (Server-side code execution)
اختراق بيانات المستخدم
تنفيذ الكود عن بعد (Remote code execution)

أمثلة على الثغرات غير المؤهلة

يُقدَّر الإبلاغ عن الثغرات التالية ولكنه لن يؤدي إلى مكافأة منهجية من Paysera:

ثغرة إنكار الخدمة (DoS) أو المشكلات المتعلقة بتحديد المعدل (rate-limiting).
إمكانيات إرسال روابط ضارة إلى أشخاص تعرفهم.
أخطاء الأمان في مواقع الويب التابعة لجهات خارجية التي تدمج مع واجهة برمجة تطبيقات (API) الخاصة بـ Paysera.
الثغرات المتعلقة ببرامج (مثل Java، المكونات الإضافية/plugins، الإضافات/extensions) أو مواقع الويب التابعة لجهات خارجية ما لم تؤدِ إلى ثغرة في موقع Paysera.
الرسائل المزعجة (Spam) (بما في ذلك المشكلات المتعلقة بـ SPF/DKIM/DMARC).
مشكلات قابلية الاستخدام، أو الإكمال التلقائي للنماذج (forms autocomplete).
الإعدادات غير الآمنة في ملفات تعريف الارتباط (cookies) غير الحساسة.
ثغرات ذاكرة التخزين المؤقت للمتصفح (Browser cache vulnerabilities).
الثغرات (بما في ذلك XSS) التي تتطلب من الضحية المحتمل تثبيت برنامج غير قياسي أو اتخاذ خطوات نشطة غير محتملة للغاية لجعل نفسه عرضة للإصابة.
الهجمات غير التقنية مثل الهندسة الاجتماعية، أو التصيد الاحتيالي (phishing)، أو الهجمات المادية ضد موظفينا، أو مستخدمينا، أو بنيتنا التحتية.
الثغرات (بما في ذلك XSS) التي تؤثر فقط على المتصفحات/المكونات الإضافية القديمة (legacy browser/plugins).
« Self-XSS » (عندما يقوم المستخدم عن طريق الخطأ بتثبيت كود ضار على موقعه الخاص).
تزوير الطلبات عبر المواقع (CSRF) للإجراءات غير الهامة (تسجيل الخروج، وما إلى ذلك).
هجمات « Clickjacking » دون سلسلة موثقة من النقرات التي تؤدي إلى ثغرة.
حقن المحتوى (Content injection)، مثل النص المنعكس أو علامات HTML.
نقص رؤوس HTTP (HTTP headers) المفقودة، إلا في الحالات التي يفشل فيها غيابها في التخفيف من هجوم موجود.
تجاوزات المصادقة (Authentication bypasses) التي تتطلب الوصول إلى البرامج/الأجهزة.
الثغرات التي تتطلب الوصول إلى كلمات المرور، أو الرموز المميزة (tokens)، أو النظام المحلي (مثل تثبيت الجلسة/session fixation).
الثغرات المفترضة بناءً على أرقام الإصدارات فقط.
الأخطاء التي تتطلب تفاعلاً غير محتمل للغاية من المستخدم.
الكشف عن معلومات عامة ومعلومات لا تشكل خطراً كبيراً.
البرمجة النصية (Scripting) أو الأتمتة الأخرى والفرض القسري (brute forcing) للوظائف المقصودة.
الطلبات التي تنتهك سياسة نفس المصدر (same-origin policy) دون سيناريو هجوم ملموس (على سبيل المثال، عند استخدام CORS، وعدم استخدام ملفات تعريف الارتباط في إجراء المصادقة أو عدم إرسالها مع الطلبات).

المعلومات المطلوبة

عند تقديم معلومات حول ثغرة أمنية، يُرجى توفير ما يلي:

وصف كامل للثغرة الأمنية المُبلّغ عنها، يشمل قابلية الاستغلال والتأثير.

توثيق جميع الخطوات المطلوبة لإعادة إنتاج استغلال الثغرة.

الرابط (الروابط)/التطبيق (التطبيقات) المتأثر (المتأثرة) (حتى إذا قمت بتزويدنا بمقتطف كودي/مقطع فيديو أيضاً).

عناوين IPs التي تم استخدامها أثناء الاختبار.

يجب دائماً تضمين معرّف المستخدم (User ID) المستخدم لإثبات المفهوم (POC).

يجب دائماً تضمين جميع الملفات التي حاولت تحميلها.

توفير إثبات المفهوم (PoC) الكامل.

يرجى حفظجميع سجلات الهجوم (attack logs) وإرفاقها بالتقرير.

قد يؤدي عدم تضمين أي من العناصر المطلوبة إلى حجب أو تأخير دفع المكافأة.
يُرجى الإبلاغ عن أي ثغرات أمنية لنا عبر البريد الإلكتروني [email protected].

ملحوظة!

لا يمكن منح المكافآت للأفراد الخاضعين للعقوبات أو لمواطني البلدان المدرجة في قائمة العقوبات (كوبا، إيران، كوريا الشمالية، السودان، سوريا). أنت مسؤول عن أي ضرائب سارية بناءً على بلد إقامتك وجنسيتك. قد تفرض القوانين المحلية قيودًا إضافية قد تمنعك من المشاركة في البرنامج.

هذا البرنامج ليس مسابقة، بل هو مبادرة مكافأة تجريبية وتقديرية. يُرجى ملاحظة أن Paysera قد تنهي البرنامج في أي وقت.

الأسئلة الشائعة

ماذا لو وجدت ثغرة أمنية، لكني لا أعرف كيفية استغلالها؟

نعتبر اختبار الثغرات الأمنية جزءًا أساسيًا من أبحاث الأمن، ونتوقع أن تتضمن التقارير المُقدمة سيناريو هجوم موثوقًا به حتى تُؤخذ بعين الاعتبار للحصول على مكافأة. تُحدد قيمة المكافأة بناءً على أقصى تأثير مُحتمل للثغرة. ويجوز للجنة المراجعة تعديل المكافأة في حال ظهور معلومات جديدة تُزيد بشكل ملموس من التأثير المُقدر (مثل سلسلة من الأخطاء البرمجية، أو سيناريو هجوم مُعدل).

كيف يمكنني إثبات خطورة الثغرة الأمنية إذا لم يُسمح لي بخرق القواعد؟

يرجى تقديم تقريرك فور اكتشاف أي مشكلة أمنية محتملة. ستدرس اللجنة أقصى تأثير ممكن وتختار المكافأة المناسبة. ندفع عادةً مكافآت أعلى للتقارير المكتوبة جيدًا والمفيدة، والتي لم يلاحظها المُبلّغ أو لم يتمكن من تحليل تأثير خلل معين بشكل كامل.