Polityka ujawniania luk
1. Wstęp
Trading Point Group (zwana dalej „Trading Point”) uznaje potrzebę nawiązania kontaktu ze społecznością zajmującą się cyberbezpieczeństwem w celu ochrony danych klientów i współpracy w celu tworzenia bezpieczniejszych rozwiązań i aplikacji. Niniejsza polityka ma na celu dostarczenie analitykom bezpieczeństwa jasnych wytycznych dotyczących przeprowadzania czynności związanych z wykrywaniem luk w zabezpieczeniach oraz przekazanie naszych preferencji dotyczących sposobu zgłaszania wykrytych luk w naszych zabezpieczeniach.
Analitycy mogą dobrowolnie zgłaszać znalezione luki w zabezpieczeniach systemów Trading Point. Niniejsza polityka opisuje jakie systemy i rodzaje badań są objęte tą polityką oraz jak przesyłać do nas raporty o lukach w zabezpieczeniach.
Przesyłanie raportów o lukach w zabezpieczeniach podlega warunkom określonym na tej stronie, a przesyłając raport o lukach w zabezpieczeniach do Trading Point analitycy potwierdzają, że przeczytali i akceptują te warunki.
2. Warunki
2.1. Bezpieczna przystań / Autoryzacja
Podczas przeprowadzania badania luk w zabezpieczeniach, wykazując starania w dobrej wierze, aby zachować zgodność z tą polityką, uznajemy, że twoje badanie jest:
Dozwolone w odniesieniu do wszelkich obowiązujących przepisów antyhakerskich i nie będziemy zalecać ani podejmować działań prawnych przeciwko tobie w związku z twoimi badaniami.
Dozwolone w odniesieniu do wszelkich odpowiednich przepisów przeciwdziałających obchodzeniu i nie będziemy wnosić przeciwko tobie roszczeń z tytułu obchodzenia kontroli technologicznych.
Zgodne z prawem, pomocne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.
Oczekuje się od ciebie przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli strona trzecia podejmie przeciwko tobie działania prawne w związku z działaniami, które prowadziłeś/-aś w dobrej wierze zgodnie z niniejszą polityką, poinformujemy o tym upoważnieniu.
Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy twoje badania bezpieczeństwa są zgodne z tymi zasadami, przed podjęciem dalszych działań prześlij zgłoszenie za pośrednictwem jednego z naszych oficjalnych kanałów (jak określono poniżej).
Należy pamiętać, że bezpieczna przystań ma zastosowanie wyłącznie do roszczeń prawnych będących pod kontrolą organizacji uczestniczącej w tej polityce i że polityka nie wiąże niezależnych stron trzecich.
2.2 Wytyczne
Zgodnie z tą polityką „badania” oznaczają działania, w ramach których:
Powiadamiasz nas jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu z bezpieczeństwem.
Dokładasz wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia komfortu użytkowania, zakłóceń w systemach produkcyjnych oraz zniszczenia danych lub manipulowania nimi.
Używaj exploitów tylko w zakresie niezbędnym do potwierdzenia obecności luki w zabezpieczeniach. Nie używaj exploita do naruszania bezpieczeństwa lub eksfiltracji danych, ustanawiania trwałego dostępu do wiersza poleceń ani do przechodzenia do innych systemów.
Prosimy cię również o:
Przestrzeganie zasad, w tym postępowanie zgodnie z niniejszą polityką i wszelkimi innymi odpowiednimi umowami. W przypadku jakichkolwiek rozbieżności między niniejszą polityką a innymi obowiązującymi warunkami, pierwszeństwo mają warunki niniejszej polityki.
Korzystanie tylko z własnych kont testowych.
Ograniczenie tworzenie kont do dwóch (2) kont na potrzeby wszelkich testów.
Korzystanie wyłącznie z oficjalnych kanałów do ujawniania i/lub omawiania z nami informacji o lukach w zabezpieczeniach.
Przesyłanie jednej luki w jednym zgłoszeniu, chyba że musisz połączyć luki w łańcuch, aby zademonstrować wpływ.
Bezpieczne usunięcie wszystkich danych pobranych podczas badania po przesłaniu raportu.
Przeprowadzanie testów tylko na systemach objętych zakresem i szanowanie systemów i działań, które są poza zakresem.
Unikanie stosowania inwazyjnych lub zautomatyzowanych narzędzi skanujących o dużej intensywności w celu znalezienia luk w zabezpieczeniach.
Nieujawnianie publicznie żadnych luk w zabezpieczeniach bez uprzedniej pisemnej zgody Trading Point.
Niewykonywanie żadnych ataków typu „odmowa usługi”.
Nieprzeprowadzanie ataków socjotechnicznych i/lub fizycznych na biura, użytkowników lub pracowników Trading Point.
Niewykonywanie automatycznych/skryptowanych testów formularzy internetowych, w szczególności formularzy „Skontaktuj się z nami”, które są przeznaczone dla klientów w celu skontaktowania się z naszym zespołem obsługi klienta.
Jeśli ustalisz, że istnieje luka w zabezpieczeniach lub przypadkowo napotkasz jakiekolwiek dane wrażliwe (w tym dane osobowe, informacje finansowe, informacje zastrzeżone lub tajemnice handlowe dowolnej strony), musisz przerwać test, natychmiast nas powiadomić i nie ujawniać tych danych nikomu innemu. Powinieneś/powinnaś również ograniczyć swój dostęp do minimalnych danych wymaganych do skutecznego zademonstrowania weryfikacji koncepcji.
2.3. Zgłaszanie luki w zabezpieczeniach / kanały oficjalne
Prosimy o zgłaszanie problemów z bezpieczeństwem / faktycznych lub potencjalnych luk w zabezpieczeniach na adres vulnerability.disclosure@xm.com, podając wszystkie istotne informacje. Im więcej szczegółów podasz, tym łatwiej będzie nam sklasyfikować i rozwiązać problem.
Aby ułatwić nam klasyfikację i ustalanie priorytetów zgłoszeń, zalecamy, aby twoje raporty:
Opisywały lokalizację lub ścieżkę aplikacji, w której wykryto lukę oraz potencjalny wpływ wykorzystania luki.
Oferowały szczegółowy opis kroków niezbędnych do odtworzenia luki w zabezpieczeniach (pomocne są skrypty sprawdzające koncepcję lub zrzuty ekranu).
Zawierały jak najwięcej szczegółów.
Zawierały adres IP, z którego przeprowadzałeś/-aś testy, adres e-mail, agenta użytkownika i nazwy użytkownika używane na platformie transakcyjnej (jeśli istnieją).
Jeśli to możliwe, były w języku angielskim.
Jeśli uważasz, że luka jest poważna lub zawiera wrażliwe informacje, możesz wysłać do naszego zespołu zaszyfrowaną wiadomość e-mail PGP, korzystając z naszego klucza PGP.
Aplikacja na Androida
Aplikacja XM na Androida (com.xm.webapp)
Aplikacja na iOS
Aplikacja XM na iOS (id1072084799)
b) Systemy/usługi poza zakresem
Wszelkie usługi (takie jak usługi połączone), system lub domena, które nie zostały wyraźnie wymienione w powyższej sekcji „Systemy/usługi objęte zakresem”, są wyłączone z zakresu i nie są autoryzowane do testowania. Ponadto luki wykryte w systemach naszych dostawców podlegają poza zakresem tych zasad i należy je zgłaszać bezpośrednio dostawcy zgodnie z jego polityką ujawniania informacji (jeśli taka istnieje). Jeśli nie masz pewności, czy system jest objęty zakresem, czy nie, skontaktuj się z nami pod adresem vulnerability.disclosure@xm.com.
c) Luki objęte zakresem
Atak SQL injection
Atak Cross-Site Scripting (XSS)
Zdalne wykonanie kodu (RCE)
Fałszowanie żądań po stronie serwera (SSRF)
Przerwane uwierzytelnianie i zarządzanie sesją
Niezabezpieczone bezpośrednie odniesienie do obiektu (IDOR)
Ekspozycja wrażliwych danych
Atak Directory/Path traversal
Atak Local/Remote File Inclusion
Atak Cross-Site Request Forgery (CSRF) o wyraźnie dużym wpływie
Otwarty atak przekierowania na wrażliwe parametry
Przejęcie subdomeny (w przypadku przejęcia subdomeny dodaje się przyjazną wiadomość typu: „Pracujemy nad tym i wkrótce wrócimy.”)
d) Luki poza zakresem
Niektóre luki w zabezpieczeniach są uważane za wykraczające poza zakres Programu ujawniania luk w zabezpieczeniach. Te luki poza zakresem obejmują między innymi:
Problemy z konfiguracją poczty, w tym ustawienia SPF, DKIM, DMARC
Luki w zabezpieczeniach związane z atakiem typu clickjacking, które nie prowadzą do wrażliwych działań, takich jak modyfikacja konta
Self-XSS (tj. gdzie użytkownik musiałby zostać nakłoniony do wklejenia kodu do swojej przeglądarki internetowej)
Spoofing, którego wpływ jest minimalny (np. wstrzykiwanie tekstu innego niż HTML)
Atak Cross-Site Request Forgery (CSRF), gdzie wpływ jest minimalny (np. CSRF w formularzach logowania lub wylogowania)
Otwarty atak przekierowania — chyba że można wykazać dodatkowy wpływ na bezpieczeństwo
Ataki CRLF, których skutki są minimalne
Wstrzyknięcie nagłówka hosta, gdzie wpływ jest minimalny
Brak flag HttpOnly lub Secure w niewrażliwych plikach cookie
Brak najlepszych praktyk w konfiguracji i szyfrowaniu SSL/TLS
Brakujące lub źle skonfigurowane nagłówki zabezpieczeń HTTP (np. CSP, HSTS)
Formularze, w których brakuje kontrolek Captcha
Wyliczanie nazwy użytkownika/adresu e-mail za pośrednictwem komunikatu o błędzie strony logowania
Wyliczanie nazwy użytkownika/adresu e-mail za pomocą komunikatu o błędzie Nie pamiętam hasła
Problemy wymagające mało prawdopodobnej interakcji użytkownika
Złożoność hasła lub jakikolwiek inny problem związany z zasadami konta lub hasła
Brak limitu czasu sesji
Ataki brute-force
Problemy z limitem szybkości dla działań niekrytycznych
Luki w zabezpieczeniach WordPress bez dowodu możliwości wykorzystania
Ujawnienie wersji oprogramowania podatnego na ataki bez dowodu możliwości wykorzystania
Wszelkie działania, które mogą prowadzić do zakłócenia działania naszej usługi (DoS)
Brak ochrony Root / Obejście ochrony Root (aplikacje mobilne)
Brak przypięcia certyfikatu SSL / Obejście przypięcia certyfikatu SSL (aplikacje mobilne)
Brak zaciemniania kodu (aplikacje mobilne)
2.5. Czasy reakcji
Trading Point zobowiązuje się do jak najszybszej i otwartej współpracy z tobą oraz dołoży wszelkich starań, aby spełnić następujące cele w zakresie odpowiedzi dla badaczy uczestniczących w naszym programie:
Czas do pierwszej odpowiedzi (licząc od dnia wysłania zgłoszenia) wynosi trzy (3) dni robocze. W ciągu trzech dni roboczych potwierdzimy otrzymanie zgłoszenia.
Czas na klasyfikację (od przesłania raportu) wynosi pięć (5) dni roboczych.
W miarę naszych możliwości potwierdzimy istnienie luki w zabezpieczeniach i przedstawimy w jak największym stopniu przejrzyste informacje o krokach, które podejmujemy podczas procesu naprawczego, a także o problemach lub wyzwaniach, które mogą opóźnić rozwiązanie. Postaramy się na bieżąco informować cię o naszych postępach w całym procesie.
3. Nagrody
Cenimy osoby, które poświęcają czas i wysiłek na zgłaszanie luk w zabezpieczeniach zgodnie z tą polityką. Jednak obecnie nie oferujemy żadnych nagród za ujawnienie luk w zabezpieczeniach. To może ulec zmianie w przyszłości.
4. Feedback
Jeśli chcesz przekazać feedback lub sugestie dotyczące tej polityki, skontaktuj się z nami pod adresem vulnerability.disclosure@xm.com.
Dziękujemy za pomoc w zapewnieniu bezpieczeństwa Trading Point i naszym użytkownikom.
5. Odcisk palca klucza PGP
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Uwaga: Zaszyfruj swoje wiadomości za pomocą powyższego klucza PGP i dołącz własny klucz publiczny do wiadomości e-mail.