Zásady odhalování zranitelnosti

1. Úvod

Trading Point Group (dále jen „Trading Point“) vnímá potřebu oslovit komunitu zabývající se kybernetickou bezpečností za účelem chránit data zákazníků a spolupracovat na vytváření bezpečnějších řešení a aplikací. Cílem těchto zásad je poskytnout výzkumným odborníkům na zabezpečení jasné pokyny pro provádění činností souvisejících s odhalováním zranitelnosti a sdělit naše preference ohledně způsobu, jakým nám mají odhalené zranitelnosti předkládat.

Výzkumní odborníci mohou dobrovolně nahlásit zranitelnosti, které naleznou v souvislosti se systémy společnosti Trading Point. Tyto zásady popisují, na jaké systémy a typy výzkumu se tyto zásady vztahují a jak nám hlášení zranitelností předkládat.

Zasílání hlášení o zranitelnostech podléhá podmínkám uvedeným na této stránce a zasláním hlášení o zranitelnostech společnosti Trading Point výzkumní odborníci potvrzují, že se s těmito podmínkami seznámili a souhlasí s nimi.

2. Obchodní podmínky

2.1 Bezpečný přístav a oprávnění

Při provádění výzkumu zranitelnosti, který se snaží v dobré víře dodržovat tyto zásady, považujeme váš výzkum za:

  • Oprávněný, kdy i přes všechny platné zákony proti hackerům nebudeme proti vám a vašem výzkumu navrhovat ani podnikat právní kroky.

  • Oprávněný, kdy i přes všechny možná obcházení zákona nebudeme proti vám podávat žalobu za obcházení technologických kontrol.

  • Zákonný a užitečný pro celkové zabezpečení internetu, prováděný v dobré víře.

Vyžadujeme, abyste dodržovali všechny platné zákony. Pokud proti vám třetí strana zahájí právní kroky za činnosti, které jste prováděli v dobré víře v souladu s těmito zásadami, zveřejníme toto oprávnění.

Pokud máte jakékoliv pochybnosti nebo si nejste jisti, zda je váš výzkum zabezpečení v souladu s těmito zásadami, před zahájením dalšího postupu nám zašlete zprávu prostřednictvím některého z našich oficiálních kanálů (podle níže uvedených pokynů).

Upozorňujeme, že tzv. „bezpečný přístav“ se vztahuje pouze na právní nároky pod kontrolou organizace, která se účastní těchto zásad, a že tyto zásady nejsou závazné pro nezávislé třetí strany.

2.2 Pravidla

Podle těchto zásad se „výzkumem“ rozumí činnosti, při kterých:

  • Bezodkladně informujete společnost poté, co zjistíte skutečný nebo potenciální bezpečnostní problém.

  • Vynaložíte maximální úsilí k zamezení porušení soukromí, zhoršení uživatelského pohodlí, narušení produkčních systémů a zničení nebo manipulaci s daty.

  • Využijete prostředky ke zneužití pouze v rozsahu nezbytném k potvrzení přítomnosti zranitelnosti. Nepoužíváte prostředky ke zneužití ke kompromitaci nebo exfiltraci dat, k vytvoření trvalého přístupu k příkazovému řádku nebo k využití prostředků k zneužití pro přechod na jiné systémy.

Žádáme vás také o:

  • Dodržování pravidel, včetně dodržování těchto zásad a všech dalších příslušných dohod. Pokud dojde k jakémukoliv rozporu mezi těmito zásadami a jakýmikoliv jinými platnými podmínkami, mají přednost podmínky v těchto zásadách.

  • Interakci prováděnou pouze s vlastními testovacími účty.

  • Omezení založení účtu na maximálně dva (2) účty za účelem testování.

  • Výhradní použití oficiálních kanálů ke sdělování informací o zranitelnostech a/nebo k diskuzi s naší společností.

  • Předložení jedné zranitelnosti v každé zprávě, pokud není nutné zranitelnosti řetězit za účelem prokázání jejich dopadu.

  • Bezpečné odstranění všech údajů získaných během výzkumu po odeslání zprávy.

  • Testování pouze na určených systémech a respektování systémů a činností, které jsou mimo daný rámec.

  • Zamezení využití invazivních nebo automatizovaných skenovacích nástrojů pro vyhledávání zranitelností.

  • Dodržení zásady nezveřejňovat zranitelnosti bez předchozího písemného souhlasu společnosti Trading Point.

  • Dodržení zásady nevyužívat tzv. „Denial of Service“ útok.

  • Dodržení zásady neprovádět útoky sociálního inženýrství a/nebo fyzického zabezpečení na kanceláře, uživatele nebo zaměstnance společnosti Trading Point.

  • Zamezení použití automatického/skriptovaného testování webových formulářů, zejména formulářů pod názvem „Kontaktujte nás“, které jsou určeny k tomu, aby zákazníci kontaktovali náš tým zákaznické podpory.

Po identifikaci zranitelnosti nebo po neúmyslném setkání s citlivými údaji (včetně osobních údajů, finančních informací, vlastnických informací nebo obchodních tajemství jakékoliv strany) musíte testování zastavit, okamžitě nás informovat a tyto údaje nikomu jinému nesdělovat. Měli byste také omezit svůj přístup na minimální množství dat, které je nutné pro efektivní předvedení ověření funkčnosti konceptu.

2.3 Nahlášení zranitelnosti a oficiální kanály

Problémy se zabezpečením, nebo aktuální a potenciální zjištění zranitelnosti nahlaste prostřednictvím e-mailu vulnerability.disclosure@xm.com a uveďte všechny relevantní informace. Čím více podrobností nám sdělíte, tím snadnější bude pro nás řešení a oprava problému.

Pro usnadnění třídění a stanovení priorit doporučujeme, aby vaše zprávy:

  • Popisovaly umístění nebo cestu v aplikaci, ve které byla zranitelnost objevena, a potenciální dopad zneužití.

  • Uváděly podrobný popis kroků potřebných k zopakování zranitelnosti (užitečné jsou skripty nebo snímky obrazovky).

  • Obsahovaly co nejvíce podrobností.

  • Uváděly IP adresu, ze které jste testovali, e-mailovou adresu, tzv. „user agenta“ a uživatelské jméno (jména) použité v obchodní platformě (pokud existuje).

  • Byly v ideálním případě přeloženy do angličtiny.

Pokud se domníváte, že zranitelnost je závažná nebo obsahuje citlivé informace, můžete našemu týmu poslat e-mail zašifrovaný otiskem veřejného klíče („PGP“) pomocí našeho PGP klíče.

2.4 Oblast působnosti

a) Systémy a služby v oblasti působnosti

Domény

https://www.xm.comhttps://my.xm.com

Android aplikace

XM Android aplikace (com.xm.webapp)

iOS aplikace

XM iOS aplikace (id1072084799)

b) Systémy a služby mimo oblast působnosti

Jakékoliv služby (například související služby), systémy nebo domény, které nejsou výslovně uvedeny ve výše uvedeném oddíle „Systémy a služby v oblasti působnosti“, jsou z působnosti vyloučeny a jejich testování není povoleno. Zranitelnosti nalezené v systémech od našich dodavatelů navíc nespadají do působnosti těchto zásad a měly by být nahlášeny přímo dodavateli v souladu s jeho zásadami zveřejňování (v případě, že jsou k dispozici). Pokud si nejste jisti, zda systém spadá do oblasti působnosti, kontaktujte nás na e-mailu vulnerability.disclosure@xm.com.

c) Zranitelnosti v oblasti působnosti

  • SQL injection

  • Cross-Site Scripting (XSS)

  • Remote code execution (RCE)

  • Server-Side Request Forgery (SSRF)

  • Chybné ověřování a správa relací

  • Insecure Direct Object Reference (IDOR)

  • Odhalení citlivých údajů

  • Procházení adresářů a cest

  • Místní nebo vzdálené začlenění souborů

  • Cross-Site Request Forgery (CSRF) s prokazatelně velkým dopadem

  • Otevřené přesměrování citlivých parametrů

  • Převzetí subdomény (v případě převzetí subdomény přidejte přátelskou zprávu typu „Pracujeme na tom a brzy se vrátíme.“)

d) Zranitelnosti mimo oblast působnosti

Některé zranitelnosti jsou považovány za chyby mimo působnost programu odhalování zranitelností. Mezi vyloučené zranitelnosti mimo jiné patří:

  • Problémy s konfigurací pošty včetně nastavení SPF, DKIM a DMARC

  • Zranitelnosti typu Clickjacking, které nevedou k citlivým akcím, jako je například modifikace účtu.

  • Self-XSS (situace, při které je třeba uživatele přinutit, aby vložil kód do svého webového prohlížeče.)

  • Podvržení obsahu s minimálním výsledným dopadem (např. vložení textu jiného než HTML)

  • Cross-Site Request Forgery (CSRF) s minimálním výsledným dopadem (např. CSRF ve formulářích pro přihlášení nebo odhlášení)

  • Otevřené přesměrování, u kterého nelze prokázat dodatečný dopad na bezpečnost.

  • Útoky CRLF s minimálním výsledným dopadem

  • Napadení hlavičky hostitele s minimálním výsledným dopadem

  • Chybějící příznaky HttpOnly nebo Secure u necitlivých souborů cookies

  • Chybějící osvědčené postupy v konfiguraci SSL/TLS a šifry

  • Chybějící nebo špatně nakonfigurované hlavičky zabezpečení HTTP (např. CSP, HSTS)

  • Chybějící ovládací prvky Captcha ve formulářích

  • Výčet uživatelského jména nebo e-mailu prostřednictvím chybové zprávy na přihlašovací stránce

  • Výčet uživatelského jména nebo e-mailu prostřednictvím chybové zprávy v sekci zapomenuté heslo

  • Problémy vyžadující nepravděpodobnou interakci uživatele

  • Složitost hesla nebo jakýkoliv jiný problém týkající se zásad účtů nebo hesel

  • Nedostatek časového limitu relace

  • Útoky hrubou silou

  • Problémy s omezením rychlosti u nekritických akcí

  • Zranitelnosti WordPressu bez důkazu zneužitelnosti

  • Zveřejnění zranitelné verze softwaru bez důkazu zneužitelnosti

  • Jakákoliv činnost vedoucí k narušení našich služeb (DoS)

  • Chybějící kořenová ochrana nebo obcházení kořenové ochrany u mobilních aplikací

  • Chybějící připnutí certifikátu SSL nebo obcházení připnutí certifikátu SSL u mobilních aplikací

  • Chybějící obfuskace kódu u mobilních aplikací

2.5 Reakční doba

Trading Point se zavazuje, že s vámi bude co nejotevřeněji a nejrychleji spolupracovat a vyvine maximální úsilí při komunikaci s výzkumnými pracovníky, kteří se účastní našeho programu, a to za účelem splnění následujících cílů:

  • Doba do první odpovědi (ode dne podání zprávy) je tři (3) pracovní dny. Do tří pracovních dnů vám potvrdíme, že jsme obdrželi vaši zprávu.

  • Doba do vyřízení (od podání hlášení) je pět (5) pracovních dnů.

V rámci našich možností vám potvrdíme existenci zranitelnosti a budeme vás co nejjasněji informovat o krocích, které podnikáme během procesu nápravy, a o problémech nebo výzvách, které mohou řešení zpozdit. V průběhu celého procesu se vás budeme snažit informovat o našem postupu.

3. Odměny

Vážíme si všech, kteří věnují čas a úsilí nahlášení bezpečnostních chyb podle těchto zásad. V současné době však za odhalení zranitelností nenabízíme žádné odměny. To se však může v budoucnu změnit.

4. Zpětná vazba

Pokud chcete poskytnout zpětnou vazbu nebo návrhy k těmto zásadám, kontaktujte nás prosím na e-mailu vulnerability.disclosure@xm.com.

Děkujeme, že pomáháte zajistit bezpečnost společnosti Trading Point a našich uživatelů.

5. Otisk veřejného klíče PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Stažení veřejného klíče PGP pro odhalení zranitelnosti u Trading Point

Upozornění: Své zprávy šifrujte pomocí výše uvedeného veřejného klíče PGP a do e-mailu vložte svůj vlastní veřejný klíč.