Richtlinie zur Offenlegung von Schwachstellen

1. Vorwort

Die Trading Point Group (nachfolgend „Trading Point“) hält es für wichtig, mit der Cybersecurity-Community zusammenzuarbeiten, um Kundendaten zu schützen und gemeinsam sicherere Angebote und Anwendungen zu entwickeln. Mit der vorliegenden Richtlinie möchten wir Sicherheitsexperten klare Vorgaben für die Entdeckung von Sicherheitslücken machen. Zudem informieren wir über unsere Vorstellungen, wie uns entdeckte Sicherheitslücken mitzuteilen sind.

Wir ermutigen Sicherheitsforscher, uns sicherheitsrelevante Schwachstellen im Zusammenhang mit den Systemen von Trading Point freiwillig zu melden. In dieser Richtlinie beschreiben wir, welche Systeme und Arten von Forschung unter diese Richtlinie fallen und wie Sie uns Sicherheitsschwachstellen melden können.

Die Meldung von Schwachstellen an Trading Point erfolgt gemäß den auf dieser Seite beschriebenen Bestimmungen und Bedingungen. Mit der Übermittlung von Schwachstellenberichten an Trading Point erklären sich die Sicherheitsforscher mit diesen Bestimmungen und Bedingungen einverstanden.

2. Bestimmungen und Bedingungen

2.1. Genehmigung sowie Verzicht auf Rechtsverfolgung

Zu Ihrer Tätigkeit im Bereich der Sicherheitsforschung im Rahmen dieser Richtlinie erklären wir hiermit wie folgt:

  • Ihrer Tätigkeit stimmen wir zu, insbesondere im Hinblick auf die gesetzlichen Bestimmungen zur Bekämpfung der Computerkriminalität. Wir werden keine zivil- oder strafrechtlichen Schritte wegen Ihrer Forschung gegen Sie einleiten.

  • Im Hinblick auf mögliche Verstöße gegen Gesetze zur Verhinderung der Umgehung von Schutzmaßnahmen erklären wir uns mit Ihrer Tätigkeit einverstanden. Wir werden keine rechtlichen Schritte gegen Sie wegen der Umgehung von technischen Schutzmaßnahmen einleiten.

  • Wir betrachten Ihre Tätigkeit als rechtmäßig, der allgemeinen Sicherheit im Internet zweckdienlich und in guter Absicht ausgeführt.

Wir erwarten von Ihnen die Einhaltung aller geltenden Gesetze. Falls ein Dritter rechtliche Schritte gegen Sie einleitet, weil Sie im Rahmen dieser Richtlinie in guter Absicht tätig gewesen sind, werden wir bekanntgeben, dass Ihre Handlungen mit unserer Genehmigung erfolgten.

Sollten Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sein, ob Ihre Sicherheitsforschung mit dieser Richtlinie vereinbar ist, melden Sie dies bitte über einen unserer unternehmenseigenen Kommunikationswege (wie unten angegeben), bevor Sie weitere Schritte unternehmen.

Der Verzicht auf Rechtsverfolgung gilt nur für rechtliche Ansprüche der Organisation, die unter dem Einflussbereich dieser Richtlinie steht. Eigenständige Dritte sind nicht an diese Richtlinie gebunden.

2.2. Handlungsvorgaben

„Forschung“ im Sinne dieser Richtlinie umfasst Ihre folgenden Handlungen:

  • Sie benachrichtigen uns schnellstmöglich, wenn Sie ein reales oder potenzielles Sicherheitsproblem feststellen.

  • Sie unterlassen jegliche Aktionen, die zu Datenschutzverstößen, Beeinträchtigung von Nutzungsmöglichkeiten, Störung von Betriebsabläufen sowie Vernichtung oder Manipulation von Daten führen.

  • Verwenden Sie Exploits nur im erforderlichen Umfang, um das Bestehen einer Schwachstelle zu belegen. Nutzen Sie Exploits nicht, um Daten zu manipulieren oder abzuschöpfen. Des Weiteren dürfen Sie Exploits nicht dazu nutzen, um dauerhaften Zugang zur Kommandozeile zu erlangen oder auf andere Systeme überzugreifen.

Außerdem bitten wir Sie um die Einhaltung folgender Regeln:

  • Bitte befolgen Sie die Regeln, insbesondere die hier beschriebenen Richtlinien und sonstigen Vereinbarungen. Falls es Diskrepanzen zwischen dieser Richtlinie und den sonstigen geltenden Bestimmungen gibt, haben die in dieser Richtlinie festgelegten Bestimmungen Vorrang.

  • Beschränken Sie die Interaktion ausschließlich auf Ihre eigenen Test-Accounts.

  • Erstellen Sie für Testzwecke maximal zwei (2) Test-Accounts.

  • Melden und besprechen Sie mit uns die Schwachstellen ausschließlich über die offiziellen Kommunikationswege.

  • Je Bericht sollte nur eine Schwachstelle gemeldet werden. Davon ausgenommen sind Angriffsketten, deren Auswirkungen Sie verdeutlichen möchten.

  • Nach Übermittlung des Berichts löschen Sie bitte sämtliche Daten im Zusammenhang mit Ihrer Forschungsarbeit dauerhaft.

  • Führen Sie Ihre Tests bitte nur in den direkt betroffenen Systemen durch. Lassen Sie Systeme und Vorgänge außer Acht, die außerhalb des Geltungsbereichs liegen.

  • Setzen Sie bei der Suche nach Schwachstellen keine hochintensiven, invasiven oder automatisierten Scanning-Tools ein.

  • Unterlassen Sie bitte jegliche öffentliche Bekanntgabe von Schwachstellen ohne die schriftliche Einwilligung von Trading Point.

  • Führen Sie keinen DoS-Angriff (Denial of Service) durch.

  • Es ist untersagt, Social Engineering und/oder Angriffe auf die Niederlassungen, Nutzer oder Angestellten von Trading Point durchzuführen.

  • Führen Sie keine automatisierten/skriptbasierten Tests von Webformularen durch, insbesondere von Kontaktformularen, die der Kontaktaufnahme unserer Kunden mit dem Kundenservice dienen.

Sobald Sie das Vorliegen einer Sicherheitsschwachstelle entdecken oder wenn Sie unbeabsichtigt auf vertrauliche Daten stoßen (einschließlich personenbezogener Daten, Finanzdaten und Daten, die einem Betriebs- und Geschäftsgeheimnis einer beliebigen Person unterliegen) gilt die folgende Regelung: Sie müssen Ihre Untersuchungen einstellen und uns unverzüglich benachrichtigen. Die vertraulichen Daten dürfen Sie nicht mit Dritten teilen. Der Zugriff zu Daten im Rahmen Ihres Proof of Concept muss auf das Mindestmaß beschränkt sein.

2.3. So melden Sie eine Schwachstelle / Offizielle Kommunikationswege

Bitte melden Sie Sicherheitsschwachstellen sowie akute und potenzielle Sicherheitsprobleme an vulnerability.disclosure@xm.com und machen Sie alle erforderlichen Angaben. Je mehr detaillierte Angaben Sie machen, desto einfacher ist es für uns, das Problem zu klassifizieren und zu beheben.

Damit wir die Meldungen genau klassifizieren und nach Priorität einstufen können, beachten Sie für Ihre Berichte bitte folgende Punkte:

  • Bitte beschreiben Sie den Fundort oder den Anwendungspfad, an dem die Sicherheitsschwachstelle entdeckt wurde, und erläutern Sie die möglichen Auswirkungen eines Angriffs.

  • Beschreiben Sie ausführlich, welche Schritte zum Reproduzieren der Schwachstelle erforderlich sind. Hilfreich sind Proof-of-Concept-Skripte oder Screenshots.

  • Geben Sie so viele Details wie möglich an.

  • Bitte geben Sie die IP-Adresse an, über welche Ihre Tests liefen sowie die E-Mail-Adresse, User Agent und den/die in der Handelsplattform verwendeten Benutzernamen (sofern zutreffend).

  • Reichen Sie Ihren Bericht bitte möglichst in englischer Sprache ein.

Wenn Sie der Ansicht sind, dass es sich um eine besonders kritische Sicherheitsschwachstelle handelt oder wenn vertrauliche Informationen enthalten sind, sollten Sie folgende Vorkehrung treffen: Senden Sie unserem Team eine PGP-verschlüsselte E-Mail unter Verwendung Ihres PGP-Keys.

2.4. Anwendungsbereich

a) Systeme/Dienste im Geltungsbereich

Domains

https://www.xm.comhttps://my.xm.com

Android-App

XM Android-App (com.xm.webapp)

iOS-App

XM iOS-App (id1072084799)

b) Systeme/Dienste außerhalb des Geltungsbereiches

Alle Dienste (wie z. B. verbundene Dienste), Systeme oder Domains, die nicht ausdrücklich unter „Systeme/Dienste im Geltungsbereich“ genannt sind, befinden sich nicht im Geltungsbereich und sind für das Testen ausgeschlossen. Zudem liegen Sicherheitsschwachstellen, die in Systemen unserer Vertragspartner gefunden werden, außerhalb des Geltungsbereichs dieser Richtlinie und sollten dem Vertragspartner gemäß seiner Offenlegungsrichtlinie (sofern vorhanden) direkt gemeldet werden. Wenn Sie nicht genau wissen, ob ein System in den Geltungsbereich dieser Richtlinie fällt, schreiben Sie bitte an vulnerability.disclosure@xm.com.

c) Sicherheitsschwachstellen im Geltungsbereich

  • SQL-Injection

  • Cross-Site-Scripting (XSS)

  • Remote Code Execution (RCE)

  • Server-Side Request Forgery (SSRF)

  • Broken Authentication und Session-Management

  • Insecure Direct Object Reference (IDOR)

  • Offenlegung vertraulicher Daten

  • Directory/Path Traversal

  • Local/Remote File Inclusion

  • Cross-Site Request Forgery (CSRF) mit nachweislich kritischen Auswirkungen

  • Open Redirect bei sicherheitsrelevanten Parametern

  • Subdomain-Übernahme (bitte veröffentlichen Sie bei Subdomain-Übernahmen eine freundliche Nachricht, z. B. „Aufgrund von Wartungsarbeiten ist diese Seite derzeit nicht erreichbar. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut.“)

d) Sicherheitsschwachstellen außerhalb des Geltungsbereiches

Bestimmte Sicherheitsschwachstellen liegen außerhalb des Geltungsbereiches dieser Richtlinie zur Offenlegung von Schwachstellen. Zu den Sicherheitsschwachstellen außerhalb des Geltungsbereiches gehören folgende Sachverhalte (die Aufzählung ist nicht abschließend):

  • Mail-Konfigurationsprobleme wie SPF, DKIM, DMARC-Einstellungen

  • Clickjacking-Schwachstellen, die nicht zu kritischen Aktionen führen (z. B. Veränderung von Konten)

  • Self-XSS (d. h. Nutzer werden dazu gebracht, Code in ihre Webbrowser einzufügen)

  • Content-Spoofing mit geringen Auswirkungen (z. B. Text-Injection ohne HTML)

  • Cross-Site Request Forgery (CSRF) mit geringen Auswirkungen (z. B. CSRF in Login- oder Logout-Formularen)

  • Open Redirect, sofern nicht eine zusätzliche Sicherheitsbeeinträchtigung nachgewiesen wird

  • CRLF-Angriffe mit geringen Auswirkungen

  • Host-Header-Injection mit geringen Auswirkungen

  • Fehlendes HttpOnly oder Secure Flags bei nicht sicherheitsrelevanten Cookies

  • Fehlerhafte Vorgehensweisen bei SSL/TLS-Konfiguration und Ciphers

  • Fehlende oder mangelhaft konfigurierte HTTP-Security-Header (z. B. CSP, HSTS)

  • Fehlende Captcha-Überprüfung in Formularen

  • Auslesen von Benutzername oder E-Mail-Adresse über Fehlermeldung auf der Login-Seite

  • Auslesen von Benutzername oder E-Mail-Adresse über Fehlermeldung auf der Seite für Passwortwiederherstellung

  • Probleme, die wahrscheinlich keine Benutzerinteraktion voraussetzen

  • Passwortbeschaffenheit oder sonstige Aspekte im Zusammenhang mit Konto- oder Passwortrichtlinien

  • Fehlender Session-Timeout

  • Brute-Force-Angriffe

  • Probleme mit Durchsatzratenbegrenzung für unkritische Aktionen

  • WordPress-Schwachstellen ohne Nachweis der Angreifbarkeit

  • Offenlegung von Schwachstellen bestimmter Softwareversionen ohne Nachweis der Angreifbarkeit

  • Jede Tätigkeit, die zur Unterbrechung unseres Dienstes (DoS) führen könnte

  • Fehlender Root-Schutz oder Umgehung von Root-Schutz bei mobilen Anwendungen

  • Fehlendes Pinning bei SSL-Zertifikaten / Umgehen des Pinnings von SSL-Zertifikaten (mobile Anwendungen)

  • Fehlende Code-Obfuskation (mobile Anwendungen)

2.5. Antwortzeiten

Trading Point setzt auf eine offene und zeiteffiziente Zusammenarbeit mit Ihnen. Für Sicherheitsforscher in unserem Projekt haben wir uns hinsichtlich der Antwortzeiten folgende Ziele gesetzt:

  • Die Zeit bis zur ersten Antwort (ab dem Zeitpunkt der Übermittlung des Berichts) beträgt drei (3) Werktage. Innerhalb von drei Werktagen werden wir Ihnen den Eingang Ihrer Meldung bestätigen.

  • Bis zur Klassifizierung (ab dem Zeitpunkt der Meldung) vergehen fünf (5) Werktage.

Wir bestätigen Ihnen nach bestem Wissen und Gewissen das Vorliegen der Schwachstelle und geben Ihnen mit größtmöglicher Transparenz Auskunft über die Maßnahmen, die wir zur Behebung der Schwachstelle ergreifen. Auch über die Probleme oder Herausforderungen, die eine Behebung verzögern könnten, werden wir Sie in Kenntnis setzen. Während des gesamten Verfahrens werden wir versuchen, Sie über unseren Fortschritt zu informieren.

3. Belohnungen

Wir wissen die Arbeit und die Zeit derjenigen zu schätzen, die Sicherheitsschwachstellen im Sinne dieser Richtlinie melden. Gegenwärtig bieten wir jedoch keine Belohnungen für die Meldung von Sicherheitsschwachstellen an. In Zukunft kann sich dies jedoch ändern.

4. Feedback

Möchten Sie uns gerne ein Feedback oder Vorschläge zu dieser Richtlinie geben? Schreiben Sie uns an vulnerability.disclosure@xm.com.

Vielen Dank, dass Sie zur Sicherheit von Trading Point und unseren Usern beitragen.

5. PGP Key Fingerprint

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Download des PGP-Schlüssels für die Offenlegung von Schwachstellen bei Trading Point

Hinweis: Bitte verschlüsseln Sie Ihre Nachrichten mit dem obigen PGP-Schlüssel und teilen Sie uns in der E-Mail Ihren öffentlichen Schlüssel mit.