Patakaran sa Pagsisiwalat ng Kahinaan
1. Panimula
Kinikilala ng Trading Point Group (na simula dito ay tatawaging "Trading Point") ang pangangailangan na lapitan ang komunidad ng cybersecurity para protektahan ang datos ng mga kliyente, at makipagtulungan sa kanila upang makagawa ng mas ligtas na mga solusyon at aplikasyon. Nilalayon ng patakarang ito na magbigay ng malinaw na gabay sa mga security researcher kapag nagsasagawa ng aktibidad na may kinalaman sa pagdiskubre ng mga kahinaan, at ipaalam sa kanila kung paano ipapadala sa amin ang mga nadiskubreng kahinaan.
Hinihikayat ang mga researcher na boluntaryong i-report ang mga makikita nilang kahinaan na konektado sa sistema ng Trading Point. Inilalarawan sa patakarang ito ang mga sistema at uri ng research na sakop nitong patakaran at paano ipapadala sa amin ang mga ulat tungkol sa naturang kahinaan.
Ang pagpapadala ng mga report tungkol sa kahinaan ay napapailalim sa mga tuntunin at kundisyon na nakalagay sa pahinang ito, at sa pamamagitan ng pagpapadala nito sa Trading Point, kinikilala ng mga researcher na nabasa at naintindihan nila ang mga naturang tuntunin at kundisyon.
2. Mga Tuntunin at Kundisyon
2.1. Safe Harbor / Awtorisasyon
Kapag nagsasagawa ng research tungkol sa mga kahinaan, habang sinisikap na magpakita ng mabuting intensyon na sumunod sa patakarang ito, ituturing namin ang iyong research na:
Awtorisado patungkol sa anumang naaangkop na batas laban sa hacking at hindi kami magrerekomenda o magsasampa ng legal na aksyon laban sa'yo para sa iyong research.
Awtorisado patungkol sa anumang batas laban sa circumvention at hindi kami maghahain ng reklamo laban sa'yo dahil sa ginawang circumvention ng mga kontrol sa teknolohiya.
Legal, at nakakatulong sa kabuuang seguridad ng Internet, at ginawa nang may mabuting intensyon.
Inaasahan kang sumunod sa lahat ng naaangkop na batas. Kung may isinampang legal na aksyon ang isang ikatlong partido laban sa'yo para sa mga aktibidad na ginawa mo nang may mabuting intensyon alinsunod sa patakarang ito, ipapaalam namin ang awtorisasyon na ito.
Kung mayroon kang pag-aalala o hindi ka sigurado kung naaayon sa patakarang ito ang iyong research sa seguridad, mangyaring magpadala ng report sa aming opisyal na channel (na nakalagay sa ibaba) bago ka magpatuloy.
Pakitandaan na ang safe harbor ay para lang sa legal na danyos na nasa kontrol ng organisasyong kasali sa patakarang ito, at hindi umiiral ang patakarang ito para sa mga independiyenteng ikatlong partido.
2.2. Mga Alituntunin
Sa ilalim ng patakarang ito, ang "research" ay nangangahulugan ng mga aktibidad kung saan:
Ipapaalam mo sa amin kaagad kapag may nadiskubre kang tunay o potensyal na isyu sa seguridad.
Nagsisikap ka nang husto na umiwas sa paglabag sa privacy, pagkasira ng karanasan ng user, pagkagambala sa sistema ng produksyon, at pagkawasak o pagmanipula ng datos.
Gagamit ka lang ng mga exploit na kailangan para kumpirmahin ang pagkakaroon ng kahinaan. Huwag gumamit ng exploit para makompromiso o ma-exfiltrate ang datos, bumuo ng tuloy-tuloy na pag-access sa command line, o gamitin ang exploit para ikutan ang ibang mga sistema.
Pinapakiusapan ka rin na:
Sumunod sa mga tuntunin, kabilang ang patakarang ito at iba pang nauugnay na kasunduan. Kung mayroong mga pagkakaiba sa patakarang ito at iba pang naaangkop na tuntunin, mananaig ang mga tuntunin sa patakarang ito.
Makipag-interact lang sa mga sarili mong test account.
Limitahan ang paggawa ng account sa (2) account lang para sa anumang pag-test.
Gamitin lang ang mga opisyal na channel para ipaalam sa amin at/o pag-usapan ang detalye tungkol sa kahinaan.
Magpadala ng isang kahinaan kada report, maliban na lang kung kailangan mong pagsama-samahin ang mga kahinaan para ipakita ang epekto nito.
Ligtas na burahin ang lahat ng nakuhang datos sa sandaling naisumite mo na ang iyong report.
Mag-test lang sa mga nasasaklaw na sistema, at respetuhin ang mga sistema at aktibidad na hindi nasasaklaw.
Iwasan ang paggamit ng napaka-invasive o awtomatikong tools sa pag-scan para humanap ng mga kahinaan.
Huwag ipaalam sa publiko ang anumang kahinaan nang walang pangunang abiso mula sa Trading Point.
Huwag magsagawa ng anumang "Denial-of-Service" (DoS) attack.
Huwag magsagawa ng social engineering at/o pisikal na pag-atake sa mga opisina, user, o empleyado ng Trading Point.
Huwag magsagawa ng awtomatiko/scripted na pag-test sa mga web form, lalo na sa form na "Makipag-ugnayan sa Amin", na idinisenyo para makausap ng mga kliyente ang aming Customer Experience team.
Sa sandaling napatunayan mo na mayroong kahinaan o hindi mo sinasadyang makakita ng anumang sensitibong datos (kabilang ang mga personal na impormasyon (PII), pinansyal na impormasyon, pagmamay-aring impormasyon, o mga sikreto sa negosyo ng sinumang partido), kailangan mong itigil ang iyong pag-test, agad 'tong ipaalam sa amin, at wag ibunyag sa kahit sino ang datos. Kailangan mo ring limitahan ang iyong pag-access sa pinakakaunting datos na kailangan para epektibong maipakita ang proof of concept.
2.3. Pag-report ng Kahinaan / Mga Opisyal na Channel
Paki-report sa vulnerability.disclosure@xm.com ang mga isyu sa seguridad o mga aktwal o potensyal na kahinaan, at ipadala ang lahat ng mahahalagang impormasyon. Kapag mas marami kang ibinigay na detalye, mas madali naming masusuri at mareresolba ang isyu.
Para tulungan kaming suriin at bigyang-prayoridad ang mga ulat, inirererekomenda namin na sa iyong report:
Ilarawan ang lokasyon at application path kung saan nadiskubre ang kahinaan at ang potensyal na epekto ng pag-exploit.
Magbigay ng detalyadong paglalarawan ng mga hakbang na kailangan para gayahin ang kahinaan (nakakatulong ang mga proof of concept script o screenshot).
Ilagay ang lahat ng detalye hangga't maaari.
Ilagay ang IP address kung saan ka nagte-test, email address, user-agent at (mga) username na ginamit sa trading platform (kung mayroon).
Ipadala ito sa wikang Ingles, kung maaari.
Kung sa tingin mo seryoso o naglalaman ng sensitibong impormasyon ang kahinaan, pwede kang magpadala ng email na may PGP encryption sa aming team gamit ang PGP key.
Android app
XM Android app (com.xm.webapp)
iOS app
XM iOS app (id1072084799)
b) Mga Hindi Nasasaklaw na Sistema/Serbisyo
Hindi kasama ang anumang serbisyo (tulad ng mga konektadong serbisyo), sistema, o domain na hindi hayagang nakalista sa "Mga Nasasaklaw na Sistema/Serbisyo" sa itaas at hindi ito pinapahintulutang i-test. Bukod dito, labas sa saklaw ng patakarang ito ang mga kahinaan na nakita sa sistema ng aming mga vendor at kailangan itong i-report sa mismong vendor alinsunod sa kanilang patakaran (kung mayroon man). Kung hindi ka sigurado kung nasasaklaw ba o hindi ang isang sistema, makipag-ugnayan sa amin sa vulnerability.disclosure@xm.com.
c) Mga Nasasaklaw na Kahinaan
SQL injection
Cross-Site Scripting (XSS)
Remote Code Execution (RCE)
Server-Side Request Forgery (SSRF)
Sirang authentication at pamamahala ng sesyon
Insecure Direct Object Reference (IDOR)
Pagkakalantad ng sensitibong datos
Paglaktaw sa directory/path
Local/Remote File Inclusion
Cross-Site Request Forgery (CSRF) na may maipapakitang mataas na epekto
Open redirect sa mga sensitibong parameter
Subdomain takeover (para sa subdomain takeover magdagdag ng mensahe tulad ng: "Ginagawan namin ito ng paraan at babalik kami sa lalong madaling panahon.")
d) Mga Hindi Nasasaklaw na Kahinaan
Ang ilang mga kahinaan ay itinuturing na hindi nasasaklaw sa aming Programa sa Pagsisiwalat ng Kahinaan. Kabilang sa mga hindi nasasaklaw na kahinaan ay, pero hindi limitado sa:
Mga isyu sa pagsasaayos ng mail tulad ng SPF, DKIM, at DMARC settings
Mga kahinaan ng clickjacking na hindi humahantong sa sensitibong aksyon tulad ng pagbabago ng account
Self-XSS (kung saan mauuto ang user na i-paste ang code sa kanilang web browser)
Spoofing ng content kung saan maliit lang ang resultang epekto (hal. text injection na hindi HTML)
Cross-Site Request Forgery (CSRF) kung saan maliit lang ang resultang epekto (hal. CSRF sa login o logout form)
Open redirect, maliban na lang kung may maipapakitang dagdag na epekto sa seguridad
Mga CRLF na pag-atake kung saan maliit lang ang resultang epekto
Host header injection kung saan maliit lang ang resultang epekto
Nawawalang HttpOnly o Secure flags sa hindi sensitibong cookies
Kawalan ng pinakamahusay na kasanayan sa SSL/TLS configuration at mga cipher
Nawawala o maling pagkaka-configure na HTTP security headers (hal. CSP, HSTS)
Mga form na may nawawalang Captcha control
Pag-enumerate ng username/email sa pamamagitan ng error sa pahina ng login
Pag-enumerate ng username/email sa pamamagitan ng error sa Nakalimutan ang Password
Mga isyu na nangangailangan ng interaksyon ng user na malabong mangyari
Pagiging kumplikado ng password o iba pang isyu na may kinalaman sa patakaran ng account o password
Kawalan ng session timeout
Mga brute-force attack
Isyu sa rate limiting para sa mga hindi kritikal na aksyon
Kahinaan ng WordPress nang walang patunay na maaari itong i-exploit
Kahinaan ng bersyon ng software nang walang patunay na maaari itong i-exploit
Anumang aktibidad na maaaring humantong sa pagkagambala ng aming serbisyo (DoS)
Kawalaan ng proteksyon ng Root / pag-iwas sa proteksyon ng Root (mga mobile app)
Kawalan ng SSL certificate pinning / pag-iwas sa SSL certificate pinning (mga mobile app)
Kawalan ng code obfuscation (mga mobile app)
2.5. Oras ng Pagtugon
Dedikado ang Trading Point sa bukas at mabilis na pakikipag-ugnayan sa'yo, at gagawin nito ang lahat para matugunan ang sumusunod na target para sa mga researcher na kasali sa aming programa:
Ang oras ng unang tugon (mula sa araw ng pagpapadala ng report) ay tatlong (3) business day. Sa loob ng tatlong business day, kikilalanin namin na natanggap na namin ang iyong report.
Ang oras ng pagsusuri (mula sa pagpapadala ng report) ay limang (5) business day.
Sa abot ng aming makakaya, kukumpirmahin namin sa'yo ang pagkakaroon ng kahinaan at magiging matapat kami hangga't maaari sa mga susunod na hakbang na gagawin namin sa proseso ng remediation, pati na ang mga isyu o pagsubok na maaaring magpaantala sa paglutas nito. Susubukan naming ibalita sa'yo ang aming pag-usad sa kabuuan ng prosesong ito.
3. Gantimpala
Pinapahalagahan namin ang mga nagsikap na maglaan ng oras at pagod para i-report ang mga kahinaan sa seguridad alinsunod sa patakarang ito. Kaya lang, sa kasalukuyan, hindi kami nag-aalok ng anumang gantimpala sa pag-uulat ng mga kahinaan. Maaari itong magbago sa hinaharap.
4. Feedback
Kung gusto mong magbigay ng feedback o mungkahi tungkol sa patakarang ito, makipag-ugnayan sa amin sa vulnerability.disclosure@xm.com.
Salamat sa iyong pagsisikap na panatilihing ligtas ang Trading Point at mga user nito.
5. PGP Key Fingerprint
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Tandaan: Paki-encrypt ang iyong mga mensahe gamit ang PGP key sa itaas at ilagay ang iyong public key sa email.