Polityka ujawniania luk

1. Wstęp

Trading Point Group (zwana dalej „Trading Point”) uznaje potrzebę nawiązania kontaktu ze społecznością zajmującą się cyberbezpieczeństwem w celu ochrony danych klientów i współpracy w celu tworzenia bezpieczniejszych rozwiązań i aplikacji. Niniejsza polityka ma na celu dostarczenie analitykom bezpieczeństwa jasnych wytycznych dotyczących przeprowadzania czynności związanych z wykrywaniem luk w zabezpieczeniach oraz przekazanie naszych preferencji dotyczących sposobu zgłaszania wykrytych luk w naszych zabezpieczeniach.

Analitycy mogą dobrowolnie zgłaszać znalezione luki w zabezpieczeniach systemów Trading Point. Niniejsza polityka opisuje jakie systemy i rodzaje badań są objęte tą polityką oraz jak przesyłać do nas raporty o lukach w zabezpieczeniach.

Przesyłanie raportów o lukach w zabezpieczeniach podlega warunkom określonym na tej stronie, a przesyłając raport o lukach w zabezpieczeniach do Trading Point analitycy potwierdzają, że przeczytali i akceptują te warunki.

2. Warunki

2.1. Bezpieczna przystań / Autoryzacja

Podczas przeprowadzania badania luk w zabezpieczeniach, wykazując starania w dobrej wierze, aby zachować zgodność z tą polityką, uznajemy, że twoje badanie jest:

  • Dozwolone w odniesieniu do wszelkich obowiązujących przepisów antyhakerskich i nie będziemy zalecać ani podejmować działań prawnych przeciwko tobie w związku z twoimi badaniami.

  • Dozwolone w odniesieniu do wszelkich odpowiednich przepisów przeciwdziałających obchodzeniu i nie będziemy wnosić przeciwko tobie roszczeń z tytułu obchodzenia kontroli technologicznych.

  • Zgodne z prawem, pomocne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Oczekuje się od ciebie przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli strona trzecia podejmie przeciwko tobie działania prawne w związku z działaniami, które prowadziłeś/-aś w dobrej wierze zgodnie z niniejszą polityką, poinformujemy o tym upoważnieniu.

Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy twoje badania bezpieczeństwa są zgodne z tymi zasadami, przed podjęciem dalszych działań prześlij zgłoszenie za pośrednictwem jednego z naszych oficjalnych kanałów (jak określono poniżej).

Należy pamiętać, że bezpieczna przystań ma zastosowanie wyłącznie do roszczeń prawnych będących pod kontrolą organizacji uczestniczącej w tej polityce i że polityka nie wiąże niezależnych stron trzecich.

2.2 Wytyczne

Zgodnie z tą polityką „badania” oznaczają działania, w ramach których:

  • Powiadamiasz nas jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu z bezpieczeństwem.

  • Dokładasz wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia komfortu użytkowania, zakłóceń w systemach produkcyjnych oraz zniszczenia danych lub manipulowania nimi.

  • Używaj exploitów tylko w zakresie niezbędnym do potwierdzenia obecności luki w zabezpieczeniach. Nie używaj exploita do naruszania bezpieczeństwa lub eksfiltracji danych, ustanawiania trwałego dostępu do wiersza poleceń ani do przechodzenia do innych systemów.

Prosimy cię również o:

  • Przestrzeganie zasad, w tym postępowanie zgodnie z niniejszą polityką i wszelkimi innymi odpowiednimi umowami. W przypadku jakichkolwiek rozbieżności między niniejszą polityką a innymi obowiązującymi warunkami, pierwszeństwo mają warunki niniejszej polityki.

  • Korzystanie tylko z własnych kont testowych.

  • Ograniczenie tworzenie kont do dwóch (2) kont na potrzeby wszelkich testów.

  • Korzystanie wyłącznie z oficjalnych kanałów do ujawniania i/lub omawiania z nami informacji o lukach w zabezpieczeniach.

  • Przesyłanie jednej luki w jednym zgłoszeniu, chyba że musisz połączyć luki w łańcuch, aby zademonstrować wpływ.

  • Bezpieczne usunięcie wszystkich danych pobranych podczas badania po przesłaniu raportu.

  • Przeprowadzanie testów tylko na systemach objętych zakresem i szanowanie systemów i działań, które są poza zakresem.

  • Unikanie stosowania inwazyjnych lub zautomatyzowanych narzędzi skanujących o dużej intensywności w celu znalezienia luk w zabezpieczeniach.

  • Nieujawnianie publicznie żadnych luk w zabezpieczeniach bez uprzedniej pisemnej zgody Trading Point.

  • Niewykonywanie żadnych ataków typu „odmowa usługi”.

  • Nieprzeprowadzanie ataków socjotechnicznych i/lub fizycznych na biura, użytkowników lub pracowników Trading Point.

  • Niewykonywanie automatycznych/skryptowanych testów formularzy internetowych, w szczególności formularzy „Skontaktuj się z nami”, które są przeznaczone dla klientów w celu skontaktowania się z naszym zespołem obsługi klienta.

Jeśli ustalisz, że istnieje luka w zabezpieczeniach lub przypadkowo napotkasz jakiekolwiek dane wrażliwe (w tym dane osobowe, informacje finansowe, informacje zastrzeżone lub tajemnice handlowe dowolnej strony), musisz przerwać test, natychmiast nas powiadomić i nie ujawniać tych danych nikomu innemu. Powinieneś/powinnaś również ograniczyć swój dostęp do minimalnych danych wymaganych do skutecznego zademonstrowania weryfikacji koncepcji.

2.3. Zgłaszanie luki w zabezpieczeniach / kanały oficjalne

Prosimy o zgłaszanie problemów z bezpieczeństwem / faktycznych lub potencjalnych luk w zabezpieczeniach na adres vulnerability.disclosure@xm.com, podając wszystkie istotne informacje. Im więcej szczegółów podasz, tym łatwiej będzie nam sklasyfikować i rozwiązać problem.

Aby ułatwić nam klasyfikację i ustalanie priorytetów zgłoszeń, zalecamy, aby twoje raporty:

  • Opisywały lokalizację lub ścieżkę aplikacji, w której wykryto lukę oraz potencjalny wpływ wykorzystania luki.

  • Oferowały szczegółowy opis kroków niezbędnych do odtworzenia luki w zabezpieczeniach (pomocne są skrypty sprawdzające koncepcję lub zrzuty ekranu).

  • Zawierały jak najwięcej szczegółów.

  • Zawierały adres IP, z którego przeprowadzałeś/-aś testy, adres e-mail, agenta użytkownika i nazwy użytkownika używane na platformie transakcyjnej (jeśli istnieją).

  • Jeśli to możliwe, były w języku angielskim.

Jeśli uważasz, że luka jest poważna lub zawiera wrażliwe informacje, możesz wysłać do naszego zespołu zaszyfrowaną wiadomość e-mail PGP, korzystając z naszego klucza PGP.

2.4. Zakres

a) Systemy/usługi objęte zakresem

Domeny

https://www.xm.comhttps://my.xm.com

Aplikacja na Androida

Aplikacja XM na Androida (com.xm.webapp)

Aplikacja na iOS

Aplikacja XM na iOS (id1072084799)

b) Systemy/usługi poza zakresem

Wszelkie usługi (takie jak usługi połączone), system lub domena, które nie zostały wyraźnie wymienione w powyższej sekcji „Systemy/usługi objęte zakresem”, są wyłączone z zakresu i nie są autoryzowane do testowania. Ponadto luki wykryte w systemach naszych dostawców podlegają poza zakresem tych zasad i należy je zgłaszać bezpośrednio dostawcy zgodnie z jego polityką ujawniania informacji (jeśli taka istnieje). Jeśli nie masz pewności, czy system jest objęty zakresem, czy nie, skontaktuj się z nami pod adresem vulnerability.disclosure@xm.com.

c) Luki objęte zakresem

  • Atak SQL injection

  • Atak Cross-Site Scripting (XSS)

  • Zdalne wykonanie kodu (RCE)

  • Fałszowanie żądań po stronie serwera (SSRF)

  • Przerwane uwierzytelnianie i zarządzanie sesją

  • Niezabezpieczone bezpośrednie odniesienie do obiektu (IDOR)

  • Ekspozycja wrażliwych danych

  • Atak Directory/Path traversal

  • Atak Local/Remote File Inclusion

  • Atak Cross-Site Request Forgery (CSRF) o wyraźnie dużym wpływie

  • Otwarty atak przekierowania na wrażliwe parametry

  • Przejęcie subdomeny (w przypadku przejęcia subdomeny dodaje się przyjazną wiadomość typu: „Pracujemy nad tym i wkrótce wrócimy.”)

d) Luki poza zakresem

Niektóre luki w zabezpieczeniach są uważane za wykraczające poza zakres Programu ujawniania luk w zabezpieczeniach. Te luki poza zakresem obejmują między innymi:

  • Problemy z konfiguracją poczty, w tym ustawienia SPF, DKIM, DMARC

  • Luki w zabezpieczeniach związane z atakiem typu clickjacking, które nie prowadzą do wrażliwych działań, takich jak modyfikacja konta

  • Self-XSS (tj. gdzie użytkownik musiałby zostać nakłoniony do wklejenia kodu do swojej przeglądarki internetowej)

  • Spoofing, którego wpływ jest minimalny (np. wstrzykiwanie tekstu innego niż HTML)

  • Atak Cross-Site Request Forgery (CSRF), gdzie wpływ jest minimalny (np. CSRF w formularzach logowania lub wylogowania)

  • Otwarty atak przekierowania — chyba że można wykazać dodatkowy wpływ na bezpieczeństwo

  • Ataki CRLF, których skutki są minimalne

  • Wstrzyknięcie nagłówka hosta, gdzie wpływ jest minimalny

  • Brak flag HttpOnly lub Secure w niewrażliwych plikach cookie

  • Brak najlepszych praktyk w konfiguracji i szyfrowaniu SSL/TLS

  • Brakujące lub źle skonfigurowane nagłówki zabezpieczeń HTTP (np. CSP, HSTS)

  • Formularze, w których brakuje kontrolek Captcha

  • Wyliczanie nazwy użytkownika/adresu e-mail za pośrednictwem komunikatu o błędzie strony logowania

  • Wyliczanie nazwy użytkownika/adresu e-mail za pomocą komunikatu o błędzie Nie pamiętam hasła

  • Problemy wymagające mało prawdopodobnej interakcji użytkownika

  • Złożoność hasła lub jakikolwiek inny problem związany z zasadami konta lub hasła

  • Brak limitu czasu sesji

  • Ataki brute-force

  • Problemy z limitem szybkości dla działań niekrytycznych

  • Luki w zabezpieczeniach WordPress bez dowodu możliwości wykorzystania

  • Ujawnienie wersji oprogramowania podatnego na ataki bez dowodu możliwości wykorzystania

  • Wszelkie działania, które mogą prowadzić do zakłócenia działania naszej usługi (DoS)

  • Brak ochrony Root / Obejście ochrony Root (aplikacje mobilne)

  • Brak przypięcia certyfikatu SSL / Obejście przypięcia certyfikatu SSL (aplikacje mobilne)

  • Brak zaciemniania kodu (aplikacje mobilne)

2.5. Czasy reakcji

Trading Point zobowiązuje się do jak najszybszej i otwartej współpracy z tobą oraz dołoży wszelkich starań, aby spełnić następujące cele w zakresie odpowiedzi dla badaczy uczestniczących w naszym programie:

  • Czas do pierwszej odpowiedzi (licząc od dnia wysłania zgłoszenia) wynosi trzy (3) dni robocze. W ciągu trzech dni roboczych potwierdzimy otrzymanie zgłoszenia.

  • Czas na klasyfikację (od przesłania raportu) wynosi pięć (5) dni roboczych.

W miarę naszych możliwości potwierdzimy istnienie luki w zabezpieczeniach i przedstawimy w jak największym stopniu przejrzyste informacje o krokach, które podejmujemy podczas procesu naprawczego, a także o problemach lub wyzwaniach, które mogą opóźnić rozwiązanie. Postaramy się na bieżąco informować cię o naszych postępach w całym procesie.

3. Nagrody

Cenimy osoby, które poświęcają czas i wysiłek na zgłaszanie luk w zabezpieczeniach zgodnie z tą polityką. Jednak obecnie nie oferujemy żadnych nagród za ujawnienie luk w zabezpieczeniach. To może ulec zmianie w przyszłości.

4. Feedback

Jeśli chcesz przekazać feedback lub sugestie dotyczące tej polityki, skontaktuj się z nami pod adresem vulnerability.disclosure@xm.com.

Dziękujemy za pomoc w zapewnieniu bezpieczeństwa Trading Point i naszym użytkownikom.

5. Odcisk palca klucza PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Uwaga: Zaszyfruj swoje wiadomości za pomocą powyższego klucza PGP i dołącz własny klucz publiczny do wiadomości e-mail.