দুর্বলতা প্রকাশের নীতি

1. পরিচিতি

Trading Point Group (এর পরে "Trading Point") গ্রাহকের ডেটা সুরক্ষিত করতে সাইবার সিকিউরিটি কমিউনিটির সাথে যোগাযোগ করার প্রয়োজনীয়তা স্বীকার করে, আরও নিরাপদ সমাধান এবং অ্যাপ্লিকেশন তৈরি করতে একসাথে কাজ করে। এই নীতিটি নিরাপত্তা গবেষকদের দুর্বলতা আবিষ্কারের কার্যক্রম পরিচালনা করার জন্য এবং কীভাবে আবিষ্কৃত দুর্বলতাগুলো আমাদের কাছে জমা দিতে হয় সে সম্পর্কে আমাদের পছন্দগুলোকে বোঝানোর উদ্দেশ্যে করা হয়েছে৷

গবেষকরা স্বেচ্ছায় দুর্বলতার রিপোর্ট করতে স্বাগত জানাই এবং তারা Trading Point সিস্টেমের সাথে সংযুক্ত খুঁজে পেতে পারেন৷ এই নীতিটি বর্ণনা করে যে এই নীতির অধীনে কোন সিস্টেম এবং গবেষণার ধরন কভার করা হয়েছে এবং কীভাবে আমাদের কাছে দুর্বলতার প্রতিবেদন জমা দিতে হয়।

দুর্বলতার প্রতিবেদন জমা দেওয়া এই পেজে উল্লিখিত শর্তাবলীর সাপেক্ষে এবং Trading Point একটি দুর্বলতা প্রতিবেদন জমা দেওয়ার মাধ্যমে গবেষকরা স্বীকার করেন যে তারা এই শর্তাবলী পড়েছেন এবং সম্মত হয়েছেন।

2. শর্তাবলী

2.1. সেফ হারবার/অনুমোদন

দুর্বলতা গবেষণা পরিচালনা করার সময়, এই নীতি মেনে চলার জন্য সরল বিশ্বাসের প্রচেষ্টা দেখিয়ে, আমরা আপনার গবেষণাকে বিবেচনা করি:

  • কোনো প্রযোজ্য অ্যান্টি-হ্যাকিং আইনের বিষয়ে অনুমোদিত এবং আমরা আপনার গবেষণার জন্য আপনার বিরুদ্ধে আইনি পদক্ষেপের সুপারিশ করব না বা অনুসরণ করব না।

  • কোনো প্রাসঙ্গিক জালিয়াতি বিরোধী আইনের বিষয়ে অনুমোদিত এবং আমরা প্রযুক্তি নিয়ন্ত্রণে বাধা দেওয়ার জন্য আপনার বিরুদ্ধে দাবি করব না।

  • আইনানুগ, ইন্টারনেটের সামগ্রিক নিরাপত্তার জন্য সহায়ক এবং সরল বিশ্বাসে পরিচালিত।

আপনি সকল প্রযোজ্য আইন মেনে চলবেন বলে আশা করা হচ্ছে। এই নীতি অনুসারে আপনি সরল বিশ্বাসে পরিচালিত কার্যকলাপের জন্য যদি তৃতীয় পক্ষের দ্বারা আপনার বিরুদ্ধে আইনি ব্যবস্থা নেওয়া হয় তবে আমরা এই অনুমোদনটি জানাব।

আপনি যদি যে কোনো সময়ে আপনার উদ্বেগ থাকেন বা আপনার নিরাপত্তা গবেষণা এই নীতির সাথে সামঞ্জস্যপূর্ণ কিনা তা অনিশ্চিত, অনুগ্রহ করে আমাদের অফিসিয়াল চ্যানেলগুলোর একটির মাধ্যমে একটি প্রতিবেদন জমা দিন (নিচে এখানে নির্ধারিত হয়েছে)।

মনে রাখবেন যে নিরাপদ হারবার শুধুমাত্র এই নীতিতে অংশগ্রহণকারী সংস্থার নিয়ন্ত্রণাধীন আইনি দাবির ক্ষেত্রে প্রযোজ্য এবং নীতিটি স্বাধীন তৃতীয় পক্ষকে আবদ্ধ করে না।

2.2. নির্দেশিকা

এই নীতির অধীনে, "গবেষণা" মানে এমন কার্যক্রম যেখানে আপনি:

  • আপনি একটি বাস্তব বা সম্ভাব্য নিরাপত্তা সমস্যা আবিষ্কার করার পরে যত তাড়াতাড়ি সম্ভব আমাদের জানান৷

  • গোপনীয়তা লঙ্ঘন, ব্যবহারকারীর অভিজ্ঞতার অবনতি, উৎপাদন ব্যবস্থায় ব্যাঘাত এবং ডেটার ধ্বংস বা হেরফের এড়াতে সর্বাত্মক প্রচেষ্টা করুন।

  • দুর্বলতার উপস্থিতি নিশ্চিত করার জন্য শুধুমাত্র প্রয়োজনীয় পরিমাণে এক্সপ্লোইট ব্যবহার করুন। আপোস বা ডেটা এক্সফ্লেট করতে, অবিরাম কমান্ড লাইন অ্যাক্সেস স্থাপন করতে বা অন্য সিস্টেমে পিভট করার জন্য এক্সপ্লোইট ব্যবহার করবেন না।

এছাড়াও আপনাকে অনুরোধ করা হচ্ছে:

  • এই নীতি এবং অন্য কোন প্রাসঙ্গিক চুক্তি অনুসরণ সহ নিয়ম অনুসারে খেলুন। এই নীতি এবং অন্য কোন প্রযোজ্য শর্তাবলীর মধ্যে কোনো অসঙ্গতি থাকলে, এই নীতির শর্তাবলী প্রাধান্য পাবে।

  • শুধুমাত্র আপনার নিজের টেস্ট অ্যাকাউন্টের সাথে ইন্টারঅ্যাক্ট করুন।

  • যেকোনো পরীক্ষার জন্য মোট দুটি (2) অ্যাকাউন্টের মধ্যে অ্যাকাউন্ট তৈরি সীমাবদ্ধ করুন।

  • আমাদের সাথে দুর্বলতার তথ্য প্রকাশ এবং/অথবা আলোচনা করতে শুধুমাত্র অফিসিয়াল চ্যানেল ব্যবহার করুন।

  • প্রতি প্রতিবেদনে একটি দুর্বলতা জমা দিন, যদি না আপনি প্রভাব প্রদর্শনের জন্য দুর্বলতা চেইন করতে চান।

  • রিপোর্ট জমা দেওয়ার পরে গবেষণার সময় পুনরুদ্ধার করা সকল ডেটা নিরাপদে মুছে ফেলুন।

  • শুধুমাত্র ইন-স্কোপ সিস্টেমে পরীক্ষা করুন এবং সুযোগের বাইরে থাকা সিস্টেম এবং ক্রিয়াকলাপগুলোকে সম্মান করুন।

  • দুর্বলতা খুঁজে পেতে উচ্চ-তীব্র আক্রমণাত্মক বা স্বয়ংক্রিয় স্ক্যানিং টুল ব্যবহার করা এড়িয়ে চলুন।

  • Trading Point এর পূর্ব লিখিত সম্মতি ছাড়া কোনো দুর্বলতা প্রকাশ্যে প্রকাশ করবেন না।

  • কোনো "ডিনাইয়াল অব সার্ভিস" আক্রমণ করবেন না।

  • Trading Point এর অফিস, ব্যবহারকারী বা কর্মচারীদের বিরুদ্ধে সামাজিক প্রকৌশল এবং/অথবা শারীরিক নিরাপত্তায় আক্রমণ করবেন না।

  • ওয়েব ফর্মগুলোর স্বয়ংক্রিয়/স্ক্রিপ্টেড টেস্টিং করবেন না, বিশেষ করে "আমাদের সাথে যোগাযোগ করুন" ফরমগুলো যা গ্রাহকদের জন্য আমাদের গ্রাহক অভজ্ঞতা টিমের সাথে যোগাযোগ করার জন্য ডিজাইন করা হয়েছে৷

একবার আপনি প্রতিষ্ঠিত হয়ে গেলে যে একটি দুর্বলতা বিদ্যমান বা আপনি অনিচ্ছাকৃতভাবে কোনো সংবেদনশীল ডেটার সম্মুখীন হন (ব্যক্তিগতভাবে শনাক্তকরণযোগ্য তথ্য (PII), আর্থিক তথ্য, মালিকানা তথ্য, বা যেকোনো পক্ষের ট্রেড সিক্রেটস সহ) তাহলে আপনাকে অবশ্যই আপনার পরীক্ষা বন্ধ করতে হবে, অবিলম্বে আমাদেরকে অবহিত করতে হবে এবং অন্য কারো কাছে এই তথ্য প্রকাশ করবেন না। সেইসাথে ধারণার প্রমাণ কার্যকরভাবে প্রদর্শনের জন্য আপনার প্রয়োজনীয় ন্যূনতম ডেটাতে আপনার অ্যাক্সেস সীমাবদ্ধ করা উচিত।

2.3. একটি দুর্বলতা/অফিসিয়াল চ্যানেল রিপোর্ট করা

অনুগ্রহ করে সকল প্রাসঙ্গিক তথ্য প্রদান করে vulnerability.disclosure@xm.com এর মাধ্যমে নিরাপত্তা সংক্রান্ত সমস্যা/প্রকৃত বা সম্ভাব্য দুর্বলতার ফলাফলগুলো প্রতিবেদন করুন। আপনি যত বেশি বিস্তারিত তথ্য প্রদান করবেন, সমস্যাটি সমাধান করা এবং সমাধান করা আমাদের পক্ষে তত সহজ হবে।

আমাদের ট্রাইজে সাহায্য করতে এবং জমাগুলোকে অগ্রাধিকার দিতে, আমরা সুপারিশ করি যে আপনার প্রতিবেদনগুলো:

  • অবস্থান বা প্রয়োগের পথ বর্ণনা করুন যেখানে দুর্বলতা আবিষ্কৃত হয়েছে এবং শোষণের সম্ভাব্য প্রভাব।

  • দুর্বলতা পুনরুত্পাদন করার জন্য প্রয়োজনীয় পদক্ষেপগুলোর একটি বিশদ বিবরণ অফার করুন (প্রুফ-অফ-ধারণা স্ক্রিপ্ট বা স্ক্রিনশট দিলে বেশি সহজ হবে)।

  • যতটা সম্ভব বিস্তারিত অন্তর্ভুক্ত করুন।

  • আপনি যে IP ঠিকানাটি থেকে পরীক্ষা করছেন তা অন্তর্ভুক্ত করুন, ট্রেডিং প্ল্যাটফর্মে ব্যবহৃত ইমেল ঠিকানা, ব্যবহারকারী-এজেন্ট এবং ব্যবহারকারীর নাম(গুলো) (যদি থাকে)।

  • ইংরেজিতে আপনার রিপোর্ট(গুলো) জমা দিন

আপনি যদি মনে করেন যে দুর্বলতা গুরুতর বা এতে সংবেদনশীল তথ্য রয়েছে, আপনি আমাদের PGP কী ব্যবহার করে আমাদের টিমকে একটি PGP এনক্রিপ্ট করা ইমেল পাঠাতে পারেন।

2.4. স্কোপ

ক) ইন-স্কোপ সিস্টেম/সেবা

ডোমেইন

https://www.xm.comhttps://my.xm.com

Android অ্যাপ

XM Android অ্যাপ্লিকেশন (com.xm.webapp)

iOS অ্যাপ

XM iOS অ্যাপ্লিকেশন (id1072084799)

খ) আউট-অফ-স্কোপ সিস্টেম/সেবা

উপরের "ইন-স্কোপ সিস্টেমস/সেবা" বিভাগে স্পষ্টভাবে তালিকাভুক্ত নয় এমন যেকোনো সেবা (যেমন সংযুক্ত সেবা), সিস্টেম বা ডোমেন গুলোকে সুযোগ থেকে বাদ দেওয়া হয়েছে এবং পরীক্ষার জন্য অনুমোদিত নয়৷ উপরন্তু, আমাদের বিক্রেতাদের থেকে সিস্টেমে পাওয়া দুর্বলতাগুলো পড়ে এই নীতির সুযোগের বাইরে এবং তাদের প্রকাশ নীতি (যদি থাকে) অনুযায়ী বিক্রেতার কাছে সরাসরি রিপোর্ট করা উচিত। যদি আপনি নিশ্চিত না হন যে একটি সিস্টেম সুযোগ আছে কি না, তাহলে vulnerability.disclosure@xm.com এ আমাদের সাথে যোগাযোগ করুন।

গ) ইন-স্কোপ দুর্বলতা

  • এসকিউএল ইনজেকশন

  • ক্রস-সাইট স্ক্রিপ্টিং (XSS)

  • রিমোট কোড এক্সিকিউশন (RCE)

  • সার্ভার-সাইড অনুরোধ জালিয়াতি (SSRF)

  • ভাঙা প্রমাণীকরণ এবং সেশন ব্যবস্থাপনা

  • অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স (IDOR)

  • সংবেদনশীল ডেটা এক্সপোজার

  • ডিরেক্টরি/পাথ ট্রাভার্সাল

  • স্থানীয়/দূরবর্তী ফাইল অন্তর্ভুক্তি

  • প্রদর্শনযোগ্য উচ্চ প্রভাব সহ ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF)

  • সংবেদনশীল প্যারামিটারে রিডাইরেক্ট খুলুন

  • সাবডোমেন টেকওভার (সাবডোমেন টেকওভারের জন্য একটি বন্ধুত্বপূর্ণ বার্তা যোগ করুন যেমন: "আমরা এটিতে কাজ করছি এবং আমরা শীঘ্রই ফিরে আসব।")

ঘ) অউট-অফ-স্কোপ দুর্বলতা

কিছু দুর্বলতা দুর্বলতা প্রকাশ প্রোগ্রামের জন্য সুযোগের বাইরে বিবেচিত হয়। এই সুযোগের বাইরের দুর্বলতাগুলোর মধ্যে রয়েছে, কিন্তু এতে সীমাবদ্ধ নয়:

  • SPF, DKIM, DMARC সেটিংস সহ মেল কনফিগারেশন সমস্যা

  • ক্লিকজ্যাকিং দুর্বলতা যা সংবেদনশীল কার্যক্রমের দিকে পরিচালিত করে না, যেমন অ্যাকাউন্ট পরিবর্তন

  • সেলফ-এক্সএসএস (অর্থাৎ, যেখানে একজন ব্যবহারকারীকে তাদের ওয়েব ব্রাউজারে কোড পেস্ট করার জন্য প্রতারিত হতে হবে)

  • কন্টেন্ট স্পুফিং যেখানে ফলস্বরূপ প্রভাব ন্যূনতম (যেমন, নন HTML টেক্সট ইনজেকশন)

  • ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF) যেখানে ফলাফলের প্রভাব ন্যূনতম (যেমন, লগইন বা লগআউট ফরমে CSRF)

  • রিডাইরেক্ট খুলুন - যদি না একটি অতিরিক্ত নিরাপত্তা প্রভাব প্রদর্শন করা যায়

  • CRLF আক্রমণ করে যেখানে ফলাফলের প্রভাব ন্যূনতম

  • হোস্ট হেডার ইনজেকশন যেখানে ফলস্বরূপ প্রভাব ন্যূনতম

  • অ-সংবেদনশীল কুকিতে HttpOnly বা সুরক্ষিত পতাকা অনুপস্থিত

  • SSL/TLS কনফিগারেশন এবং সাইফারগুলোতে সেরা অনুশীলনগুলো অনুপস্থিত

  • অনুপস্থিত বা ভুল কনফিগার করা HTTP নিরাপত্তা শিরোনাম (যেমন, CSP, HSTS)

  • ফরমে ক্যাপচা নিয়ন্ত্রণ নেই

  • লগইন পেজ ইরোর ম্যাসেজের মাধ্যমে ব্যবহারকারীর নাম/ইমেল গণনা

  • ভুলে যাওয়া পাসওয়ার্ড ত্রুটি বার্তার মাধ্যমে ব্যবহারকারীর নাম/ইমেল গণনা

  • যে সমস্যাগুলোর জন্য ব্যবহারকারীর ইন্টারঅ্যাকশনের সম্ভাবনা নেই

  • পাসওয়ার্ড জটিলতা বা অ্যাকাউন্ট বা পাসওয়ার্ড নীতি সম্পর্কিত অন্য কোনো সমস্যা

  • সেশনের সময়সীমার অভাব

  • ব্রুট-ফোর্স আক্রমণ

  • অ-সমালোচনামূলক কর্মের জন্য রেট সীমা সংক্রান্ত সমস্যা

  • এক্সপ্লোইটাবিলিটি প্রমাণ ছাড়াই WordPress দুর্বলতা

  • এক্সপ্লোইটাবিলিটি প্রমাণ ছাড়াই দুর্বল সফ্টওয়্যার সংস্করণ প্রকাশ

  • যে কোনো কার্যকলাপ যা আমাদের সেবার (DoS) ব্যাঘাত ঘটাতে পারে

  • রুট সুরক্ষার অভাব/রুট সুরক্ষার বাইপাস (মোবাইল অ্যাপ্লিকেশন)

  • SSL সার্টিফিকেট পিনিং এর অভাব/SSL সার্টিফিকেট পিনিং এর বাইপাস (মোবাইল অ্যাপ্লিকেশন)

  • কোড অস্পষ্টতার অভাব (মোবাইল অ্যাপ্লিকেশন)

2.5. প্রতিক্রিয়ার সময়

Trading Point আপনার সাথে যতটা সম্ভব খোলাখুলি এবং যত তাড়াতাড়ি সম্ভব সমন্বয় করতে প্রতিশ্রুতিবদ্ধ এবং আমাদের প্রোগ্রামে অংশগ্রহণকারী গবেষকদের জন্য নিম্নলিখিত প্রতিক্রিয়া লক্ষ্যগুলো পূরণ করার সর্বোত্তম প্রচেষ্টা করবে:

  • প্রথম প্রতিক্রিয়ার সময় (প্রতিবেদন জমা দেওয়ার দিন থেকে) তিন (3) ব্যবসায়িক দিন। তিন কার্যদিবসের মধ্যে, আমরা স্বীকার করব যে আপনার রিপোর্ট গৃহীত হয়েছে।

  • ট্রাইজ করার সময় (রিপোর্ট জমা দেওয়া থেকে) পাঁচ (5) ব্যবসায়িক দিন।

আমাদের সর্বোত্তম ক্ষমতার জন্য, আমরা আপনার প্রতি দুর্বলতার অস্তিত্ব নিশ্চিত করব এবং প্রতিকার প্রক্রিয়া চলাকালীন আমরা কী পদক্ষেপ নিচ্ছি, সেইসাথে সমাধানে বিলম্ব হতে পারে এমন সমস্যা বা চ্যালেঞ্জগুলো সম্পর্কে যতটা সম্ভব স্বচ্ছ থাকব। আমরা পুরো প্রক্রিয়া জুড়ে আমাদের অগ্রগতি সম্পর্কে আপনাকে জানানোর চেষ্টা করব।

3. পুরস্কার

আমরা তাদের মূল্য দিই যারা এই নীতি অনুসারে নিরাপত্তার দুর্বলতার রিপোর্ট করার জন্য সময় এবং প্রচেষ্টা নেয়। যাইহোক, বর্তমানে আমরা দুর্বলতা প্রকাশের জন্য কোনো পুরস্কার অফার করি না। এটি ভবিষ্যতে পরিবর্তন সাপেক্ষে।

4. প্রতিক্রিয়া

আপনি যদি এই নীতিতে প্রতিক্রিয়া বা পরামর্শ দিতে চান, তাহলে অনুগ্রহ করে vulnerability.disclosure@xm.com এ আমাদের সাথে যোগাযোগ করুন।

Trading Point এবং আমাদের ব্যবহারকারীদের নিরাপদ রাখতে সাহায্য করার জন্য আপনাকে ধন্যবাদ।

5. PGP কী ফিঙ্গারপ্রিন্ট

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

দ্রষ্টব্য: অনুগ্রহ করে উপরের PGP কী দিয়ে আপনার ম্যাসেজ গুলোকে এনক্রিপ্ট করুন এবং ইমেলে আপনার নিজস্ব পাবলিক কী অন্তর্ভুক্ত করুন।