Openbaarmakingsbeleid voor kwetsbaarheden

1. Inleiding

De Trading Point Group (hierna 'Trading Point') erkent de noodzaak om samen te werken met de cyberveiligheidsgemeenschap om cliëntgegevens en -activiteiten te beschermen en zo te zorgen voor veiligere oplossingen en toepassingen. Dit beleid is erop gericht om veiligheidsonderzoekers richtlijnen te verstrekken voor het uitvoeren van onderzoeksactiviteiten rondom het ontdekken van kwetsbaarheden en het overbrengen van onze gewenste manier voor het informeren over ontdekte veiligheidskwetsbaarheden aan ons.

Onderzoekers worden uitgenodigd om vrijwillig kwetsbaarheden te melden die ze in verband met de Trading Point-systemen vinden. Dit beleid beschrijft welke systemen en soorten onderzoek onder dit beleid vallen en hoe ze kwetsbaarheidsrapporten bij ons kunnen indienen.

Het indienen van kwetsbaarheidsrapporten is onderhevig aan de algemene voorwaarden die op deze pagina zijn uiteengezet en door het verzenden ervan naar Trading Point erkennen de onderzoekers dat ze deze algemene voorwaarden hebben gelezen en ermee instemmen.

2. Algemene voorwaarden

2.1. Safe harbor/autorisatie

Tijdens het uitvoeren van kwetsbaarheidsonderzoeken, waarbij rechtvaardig handelen getoond wordt om aan dit beleid te voldoen, gaan we ervan uit dat uw onderzoek:

  • Geautoriseerd is in verband met mogelijke wetgeving voor anti-hacking en we zullen geen juridische acties tegenover uw onderzoek aanbevelen of uitvoeren.

  • Geautoriseerd is in verband met mogelijke relevante wetgeving voor anti-ontwijking en we zullen geen vordering tegenover u indienen voor ontwijkings- of technologische activiteiten.

  • Rechtmatig is, behulpzaam voor de algemene beveiliging van het internet en uitgevoerd in goed vertrouwen.

U moet aan alle vereiste wetgeving voldoen. Als er door een derde een juridische procedure tegenover u wordt aangespannen voor activiteiten die u in goed vertrouwen en overeenkomstig dit beleid heeft uitgevoerd, zullen we deze autorisatie bekendmaken.

Indien u zich op welk moment dan ook zorgen maakt over of onzeker bent of uw veiligheidsonderzoek in overeenstemming is met dit beleid, kunt u voordat u verdergaat een rapport indienen via een van onze officiële kanalen (zoals hieronder vermeld).

Let erop dat de richtlijnen rondom safe harbor alleen van toepassing zijn voor juridische claims tegenover het beheer van de organisatie die deelneemt aan dit beleid en dat het beleid onafhankelijke derden tot niets verplicht.

2.2. Richtlijnen

Onder dit beleid betekent 'onderzoek' activiteiten waarbij u:

  • Ons zo spoedig mogelijk informeert nadat u een echt of potentieel veiligheidsprobleem ontdekt.

  • Elke inspanning levert om privacyschendingen, een verminderde gebruikerservaring, onderbreking van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.

  • Uitsluitend exploits gebruikt voor zover mogelijk om de aanwezigheid van kwetsbaarheden te bevestigen. Gebruik een exploit niet om gegevens te compromitteren of exfiltreren, blijvende toegang tot een commandoregel te verkrijgen of deze te gebruiken om naar andere systemen over te schakelen.

U bent ook vereist om:

  • De regels te volgen, waaronder het volgen van dit beleid en andere relevante overeenkomsten. Als er een inconsistentie is tussen dit beleid en andere toepasselijke voorwaarden, zullen de voorwaarden van dit beleid overheersen.

  • Uitsluitend te interageren met uw eigen testaccounts.

  • Het aanmaken van accounts voor tests te beperken tot in totaal twee (2) accounts.

  • De officiële kanalen alleen te gebruiken voor het aan/met ons openbaren en/of bespreken van kwetsbaarheidsgegevens.

  • Alleen één kwetsbaarheid per rapport in te dienen, tenzij u kwetsbaarheden moet koppelen om de impact duidelijk te maken.

  • Na het indienen van het rapport veilig alle gegevens te verwijderen die tijdens het onderzoek zijn verkregen.

  • Testprocedures alleen uit te voeren op toepasselijke systemen en de systemen en activiteiten die buiten de reikwijdte vallen te respecteren.

  • Het gebruik te vermijden van intensieve indringende of geautomatiseerde scantools om kwetsbaarheden te vinden.

  • Een kwetsbaarheid zonder de schriftelijke toestemming van Trading Point niet openbaar te maken.

  • Geen Denial-of-Service-aanval uit te voeren.

  • Geen social engineering en/of fysieke beveilingsaanvallen uit te voeren tegen kantoren, gebruikers of medewerkers van Trading Point.

  • Geen geautomatiseerde/gescripte testen van webformulieren uit te voeren, waaronder met name formulieren voor 'Contact opnemen' die zijn opgesteld voor cliënten om contact op te nemen met ons team voor klantervaringen.

Zodra u heeft vastgesteld dat er een kwetsbaarheid bestaat of indien u zonder opzet gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie (PII), financiële gegevens, eigendomsmatige informatie of handelsgeheimen van een partij), moet u uw testproces stopzetten en ons onmiddellijk informeren en deze gegevens aan niemand anders openbaren. U moet ook uw toegang tot de minimaal vereiste data beperken om effectief een proof of concept te demonstreren.

2.3. Kwetsbaarheid rapporteren/officiële kanalen

Rapporteer beveiligingsproblemen en feitelijke of potentiële gevonden kwetsbaarheden via vulnerability.disclosure@xm.com, met vermelding van alle relevante informatie. Hoe meer details u verstrekt, hoe eenvoudiger het voor ons is om de belangrijkheid van de kwestie te bepalen en het eventuele probleem op te lossen.

Voor het helpen bepalen van de belangrijkheid en het prioriteren van indieningen, raden we aan dat uw rapporten:

  • De locatie of het pad van de toepassing beschrijven waar de kwetsbaarheid is ontdekt en de potentiële impact van exploitatie.

  • Een uitgebreide beschrijving bevatten van de vereiste stappen om de kwetsbaarheid te reproduceren (proof of concept-scripts of screenshots zijn nuttig).

  • Zoveel mogelijk informatie bevatten.

  • Het IP-adres bevatten waarvandaan de testprocedure is uitgevoerd, alsmede het e-mailadres, de useragent en gebruikersna(a)m(en) die op het handelsplatform zijn gebruikt (indien van toepassing).

  • Indien mogelijk in het Engels zijn geschreven.

Als u denkt dat de kwetsbaarheid serieus van aard is en gevoelige informatie bevat, kunt u een PGP-versleutelde e-mail naar ons team sturen via uw PGP-sleutel.

2.4. Reikwijdte

a) Toepasselijke systemen/diensten

Domeinen

https://www.xm.comhttps://my.xm.com

Android-app

XM Android-applicatie (com.xm.webapp)

iOS-app

XM iOS-applicatie (id1072084799)

b) Niet toepasselijke systemen/diensten

Een dienst (zoals gerelateerde services), systeem of domein niet uitdrukkelijk vermeld onder de sectie 'Toepasselijke systemen/diensten' hierboven, bevindt zich buiten de reikwijdte en is niet geautoriseerd voor testprocessen. Daarnaast vallen kwetsbaarheden die zijn gevonden in systemen van onze leveranciers buiten de reikwijdte van dit beleid. Deze moeten rechtstreeks bij de leverancier worden gemeld volgens hun eigen openbaarmakingsbeleid (indien van toepassing). Neem contact met ons op via vulnerability.disclosure@xm.com als u niet zeker weet of een systeem onder ons beleid of onze reikwijdte valt.

c) Toepasselijke kwetsbaarheden

  • SQL-injectie

  • Cross-site scripting (XSS)

  • Remote code execution (RCE)

  • Server-side request forgery (SSRF)

  • Gebroken authenticatie en sessiebeheer

  • Insecure direct object reference (IDOR)

  • Blootstelling van gevoelige informatie

  • Directory/path traversal

  • Local/remote file inclusion

  • Cross-site request forgery (CSRF) met gedemonstreerde hoge impact

  • Open redirect op gevoelige parameters

  • Overname van subdomein (voeg hier een vriendelijk bericht aan toe, zoals: "We werken eraan en zijn spoedig terug.")

d) Niet toepasselijke kwetsbaarheden

Bepaalde kwetsbaarheden worden beschouwd als buiten de reikwijdte van het openbaarmakingsbeleid voor kwetsbaarheden. Deze niet toepasselijke kwetsbaarheden bestaan uit, maar zijn niet beperkt tot:

  • Kwesties rondom mailconfiguratie, waaronder SPF-, DKIM- en DMARC-instellingen

  • Kwetsbaarheden rondom clickjacking die niet leiden tot gevoelige handelingen, waaronder accountaanpassing

  • Self-XSS (i.e. waarbij een gebruiker in de val wordt gelokt bij het plakken van code in hun webbrowser)

  • Spoofing van inhoud waarbij de uiteindelijke impact minimaal is (bv. niet-HTML tekstinjectie)

  • Cross-site request forgery (CSRF) waarbij de uiteindelijke impact minimaal is (bv. CSRF bij in- of uitlogformulieren)

  • Open redirect — tenzij een aanvullende impact op de beveiliging kan worden aangetoond

  • CRLF-aanvallen waarbij de uiteindelijke impact minimaal is

  • Host header-injectie waarbij de uiteindelijke impact minimaal is

  • Ontbrekende HttpOnly of secure flags bij niet-gevoelige cookies

  • Ontbrekende best practices bij SSL-/TLS-configuratie en ciphers

  • Ontbrekende of onjuist geconfigureerde HTTP security headers (bv. CSP, HSTS)

  • Formulieren zonder Captcha-controles

  • Enumeratie van gebruikersnaam/e-mail via foutmelding op inlogpagina

  • Enumeratie van gebruikersnaam/e-mail via foutmelding voor vergeten wachtwoord

  • Kwesties met onwaarschijnlijke gebruikersinteractie

  • Wachtwoordcomplexiteit of een andere kwestie gerelateerd aan account- of wachtwoordbeleid

  • Gebrek aan sessietime-out

  • Brute force-aanvallen

  • Rate limiting-kwesties bij niet-kritische acties

  • WordPress-kwetsbaarheden zonder bewijs van exploiteerbaarheid

  • Kwetsbare openbaarmaking van softwareversie zonder bewijs van exploiteerbaarheid

  • Elke activiteit die kan leiden tot een onderbreking van onze dienst (DoS)

  • Gebrek aan/omzeilen van rootbescherming (mobiele applicaties)

  • Gebrek aan/omzeilen van SSL certificate pinning (mobiele applicaties)

  • Gebrek aan codeverduistering (mobiele applicaties)

2.5. Responstijden

Trading Point is erop gericht om kwesties zo open en efficiënt mogelijk met u te coördineren en zal zijn uiterste best doen om voor onderzoekers die deelnemen aan ons programma aan de volgende responsdoelen te voldoen:

  • De termijn voor de eerste respons (vanaf de dag van indiening van het rapport) is drie (3) werkdagen. We informeren u dus binnen drie dagen dat uw rapport in goede orde is ontvangen.

  • Termijn voor afweging van belangrijkheid en urgentie (vanaf rapportindiening) is vijf (5) werkdagen.

We zullen naar ons beste vermogen het bestaan van een kwetsbaarheid aan u bevestigen en zo transparant mogelijk zijn over welke stappen we moeten nemen om de kwestie op te lossen, alsmede u informeren over problemen en uitdagingen die hierbij tot vertraging kunnen leiden. We zullen u gedurende het gehele proces op de hoogte houden over de voortgang.

3. Beloningen

We hebben enorme waardering voor diegenen die tijd investeren en inspanningen leveren om veiligheidskwetsbaarheden overeenkomstig dit beleid te melden, maar momenteel bieden we geen beloningen aan voor openbaarmakingen van kwetsbaarheden. Dit kan in de toekomst veranderen.

4. Feedback

Indien u feedback of suggesties voor dit beleid wilt verstrekken, kunt u contact met ons opnemen via vulnerability.disclosure@xm.com.

Bedankt voor uw hulp bij het veilig houden van Trading Point en onze gebruikers.

5. Vingerafdruk van PGP-sleutel

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

NB: we verzoeken u vriendelijk uw berichten te versleutelen met de bovenstaande PGP-sleutel en uw eigen openbare sleutel in de e-mail te vermelden.