Política de divulgación de vulnerabilidades

1. Introducción

Trading Point Group (en adelante "Trading Point") reconoce la necesidad de acercarse a la comunidad de ciberseguridad con el fin de proteger los datos de los clientes y trabajar juntos para crear soluciones y aplicaciones más seguras. Esta política pretende proporcionar a los investigadores de seguridad unas directrices claras para llevar a cabo las actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias sobre cómo hacernos llegar las vulnerabilidades descubiertas.

Los investigadores están invitados a informar voluntariamente de las vulnerabilidades que puedan encontrar relacionadas con los sistemas de Trading Point. Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política y cómo hacernos llegar informes de vulnerabilidades.

El envío de informes de vulnerabilidades está sujeto a los términos y condiciones establecidos en esta página. Al enviar un informe de vulnerabilidades a Trading Point, los investigadores reconocen que han leído y aceptado dichos términos y condiciones.

2. Términos y Condiciones

2.1 Protección legal/Autorización

Al realizar una investigación sobre vulnerabilidades, mostrando buena fe en el cumplimiento de esta política, consideramos que su investigación:

  • Está autorizada respecto a cualquier ley antipiratería aplicable y no recomendaremos ni emprenderemos acciones legales contra usted por su investigación.

  • Está autorizada respecto a cualquier ley antielusión pertinente y no presentaremos una demanda contra usted por elusión de controles tecnológicos.

  • Es lícita, contribuye a la seguridad general de Internet y se lleva a cabo de buena fe.

Se espera que cumpla todas las leyes pertinentes. Si un tercero iniciara acciones legales contra usted por actividades que haya llevado a cabo de buena fe conforme a esta política, haremos constar esta autorización.

Si en algún momento le preocupa o no está seguro de si su investigación de seguridad se ajusta a esta política, por favor, envíe un informe a través de uno de nuestros canales oficiales (indicados más abajo) antes de proseguir.

Tenga en cuenta que la protección legal se aplica únicamente a las reclamaciones legales bajo el control de la organización que adopta esta política, y que dicha política no es vinculante para terceros independientes.

2.2 Directrices

En virtud de esta política, se entiende por "investigación" las actividades en las que usted:

  • Nos notifica lo antes posible tras descubrir un problema de seguridad real o potencial.

  • Hace todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.

  • Solo utiliza exploits en la medida necesaria para confirmar la presencia de una vulnerabilidad. No emplea un exploit para comprometer o extraer datos, no establece un acceso a la línea de comandos ni emplea el exploit para acceder a otros sistemas.

También se le solicita que:

  • Siga las normas, incluyendo esta política y cualquier otro acuerdo pertinente. En caso de incoherencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política.

  • Interactúe solo con sus propias cuentas de prueba.

  • Limite la creación de cuentas a un total de dos (2) cuentas para cualquier prueba.

  • Utilice solo los canales oficiales para revelar y/o tratar con nosotros información sobre vulnerabilidades.

  • Presente una vulnerabilidad por informe, a no ser que necesite encadenar vulnerabilidades para demostrar el impacto.

  • Elimine de forma segura todos los datos recuperados durante la investigación una vez presentado el informe.

  • Realice pruebas únicamente en los sistemas incluidos en el ámbito de actuación y respete los sistemas y actividades que estén fuera de él.

  • Evite utilizar herramientas de análisis invasivas o automatizadas de alta intensidad para encontrar vulnerabilidades.

  • No revele públicamente ninguna vulnerabilidad sin el consentimiento previo por escrito de Trading Point.

  • No realice ningún ataque de "denegación de servicio".

  • No realice ataques de ingeniería social y/o de seguridad física contra las oficinas, usuarios o empleados de Trading Point.

  • No realice pruebas automatizadas o con secuencias de comandos de formularios web, especialmente formularios de "Contacto" diseñados para que los clientes se pongan en contacto con nuestro equipo de experiencia del cliente.

Una vez que haya determinado la existencia de una vulnerabilidad o haya encontrado involuntariamente datos confidenciales (incluyendo información de carácter personal, información financiera, información propietaria o secretos comerciales de cualquiera de las partes), deberá detener la prueba, notificárnoslo inmediatamente y no revelar estos datos a nadie. También debe limitar su acceso a los datos mínimos necesarios para demostrar eficazmente una validación del concepto.

2.3. Canales oficiales para la notificación de vulnerabilidades

Por favor, notifique los problemas de seguridad y los hallazgos de vulnerabilidades reales o potenciales a vulnerability.disclosure@xm.com proporcionando toda la información relevante. Cuantos más detalles proporcione, más fácil nos resultará clasificar y solucionar el problema.

Para ayudarnos a clasificar y priorizar los mensajes, le recomendamos que sus informes:

  • Describan la ubicación o la ruta de la aplicación en la que se descubrió la vulnerabilidad y el posible impacto de su explotación.

  • Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles las secuencias de comandos de demostración conceptual o capturas de pantalla).

  • Incluyan tantos detalles como sea posible.

  • Incluyan la dirección IP desde la que estaba realizando la prueba, la dirección de correo electrónico, el agente de usuario y el (los) nombre(s) de usuario utilizado(s) en la plataforma de trading (si corresponde).

  • Estén en inglés, de ser posible.

Si considera que la vulnerabilidad es grave o contiene información sensible, puede enviar un correo electrónico cifrado con PGP a nuestro equipo utilizando nuestra clave PGP.

2.4 Alcance

a) Sistemas y servicios incluidos en el ámbito de actuación

Dominios

https://www.xm.comhttps://my.xm.com

App para Android

Aplicación para Android de XM (com.xm.webapp)

App para iOS

Aplicación para iOS de XM (id1072084799)

b) Sistemas y servicios fuera del ámbito de actuación

Quedan excluidos del ámbito de actuación todos los servicios (por ejemplo, servicios conectados), sistemas o dominios que no figuren expresamente en la sección "Sistemas y servicios incluidos en el ámbito de actuación" y no se autoriza la realización de pruebas en ellos. Adicionalmente, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del ámbito de actuación de esta política y deben comunicarse directamente al proveedor de acuerdo con su política de divulgación (si la hubiera). Si no está seguro de si un sistema entra o no en el ámbito de actuación, póngase en contacto con nosotros en vulnerability.disclosure@xm.com.

c) Vulnerabilidades en el ámbito de actuación

  • Inyección SQL.

  • Secuencia de comandos entre sitios (XSS).

  • Ejecución remota de código (RCE).

  • Falsificación de solicitudes del lado del servidor (SSRF).

  • Pérdida de autenticación y gestión de sesiones.

  • Referencia de objeto directo inseguro (IDOR).

  • Exposición de datos sensibles.

  • Cruce de directorio.

  • Inclusión de archivos locales/remotos.

  • Falsificación de solicitud entre sitios (CSRF) con alto impacto demostrable.

  • Redirección abierta en parámetros sensibles.

  • Adquisición de subdominio (para la adquisición de subdominio, añada un mensaje amistoso, por ejemplo: "Estamos trabajando en ello y volveremos pronto").

d) Vulnerabilidades fuera del ámbito de actuación

Ciertas vulnerabilidades se consideran fuera del ámbito de actuación del programa de divulgación de vulnerabilidades. Esas vulnerabilidades fuera del ámbito de actuación incluyen, entre otras:

  • Problemas de configuración del correo, incluyendo ajustes SPF, DKIM y DMARC.

  • Vulnerabilidades de secuestro de clic que no conllevan acciones sensibles, como la modificación de cuentas.

  • Self-XSS (es decir, cuando haya que engañar a un usuario para que pegue código en su navegador web).

  • Suplantación de contenido cuando el impacto resultante es mínimo (p. ej., inyección de texto no HTML).

  • Falsificación de solicitud entre sitios (CSRF) cuando el impacto resultante es mínimo (p. ej., CSRF en formularios de inicio o cierre de sesión).

  • Redirección abierta, a menos que pueda demostrarse un impacto adicional sobre la seguridad.

  • Ataques CRLF en los que el impacto resultante es mínimo.

  • Inyección de encabezado de host en el que el impacto resultante es mínimo.

  • Ausencia de banderas HttpOnly o Secure en cookies no confidenciales.

  • Ausencia de buenas prácticas en la configuración y cifrado SSL/TLS.

  • Ausencia o mala configuración de encabezados de seguridad HTTP (p. ej., CSP, HSTS).

  • Formularios sin controles captcha.

  • Enumeración de nombre de usuario/correo electrónico a través del mensaje de error de la página de inicio de sesión.

  • Enumeración de nombre de usuario/correo electrónico a través del mensaje de error Olvidó su contraseña.

  • Cuestiones que requieren una interacción poco probable del usuario.

  • Complejidad de la contraseña o cualquier otra cuestión relacionada con las políticas de cuentas o contraseñas.

  • Ausencia de tiempo de espera de la sesión.

  • Ataques de fuerza bruta.

  • Problemas de limitación de velocidad para acciones no críticas.

  • Vulnerabilidades de WordPress sin pruebas de explotabilidad.

  • Divulgación de versiones de software vulnerables sin prueba de explotabilidad.

  • Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).

  • Falta de protección root/elusión de protección root (aplicaciones móviles).

  • Falta de fijación de certificados SSL/elusión de fijación de certificados SSL (aplicaciones móviles).

  • Falta de ofuscación de código (aplicaciones móviles).

2.5. Tiempos de respuesta

Trading Point asume el compromiso de comunicarse con usted de la manera más transparente y rápida posible y se esforzará al máximo por cumplir los siguientes plazos de respuesta para los investigadores que participen en nuestro programa:

  • El plazo para la primera respuesta (a partir del día de la presentación del informe) es de tres (3) días hábiles. En el plazo de tres días hábiles, confirmaremos que hemos recibido su informe.

  • El plazo para realizar el análisis (desde el envío del informe) es de cinco (5) días hábiles.

En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes que podamos sobre los pasos que daremos durante el proceso de reparación, así como sobre los problemas o retos que puedan retrasar la resolución. Intentaremos mantenerle informado acerca de nuestros avances a lo largo del proceso.

3. Recompensas

Valoramos a quienes se toman el tiempo y el esfuerzo de informar sobre vulnerabilidades de seguridad de conformidad con esta política. Sin embargo, actualmente no ofrecemos ninguna recompensa por la divulgación de vulnerabilidades. Este aspecto está sujeto a cambios en el futuro.

4. Comentarios

Si desea hacer comentarios o sugerencias sobre esta política, puede escribirnos a vulnerability.disclosure@xm.com.

Gracias por ayudar a mantener la seguridad de Trading Point y de nuestros usuarios.

5. Huella digital PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Nota: Por favor, encripte sus mensajes con la clave PGP anterior e incluya su propia clave pública en el correo electrónico.