Divulgação responsável de vulnerabilidades

1. Introdução

A Trading Point Group (doravante "Trading Point") reconhece a necessidade de abordar a comunidade de cibersegurança para proteger os dados dos clientes e trabalhar em conjunto para criar soluções e aplicações mais seguras. Esta política destina-se a dar aos investigadores de segurança orientações claras para a realização de atividades de deteção de vulnerabilidades e veicular as nossas preferências sobre a forma de apresentação destas quando identificadas.

Os investigadores são bem-vindos a reportar voluntariamente vulnerabilidades que possam encontrar ligadas aos sistemas da Trading Point. Esta política descreve quais sistemas e tipos de investigação são abrangidos por esta política e como submeter os relatórios de vulnerabilidade.

A apresentação de relatórios de vulnerabilidade está sujeita aos termos e condições estabelecidos nesta página, e ao submeter um relatório de vulnerabilidade à Trading Point, os investigadores reconhecem que leram e concordaram com estes termos e condições.

2. Termos e condições

2.1. Porto seguro/autorização

Ao realizar pesquisas sobre vulnerabilidade, ao manifestar um esforço de boa-fé em cumprir esta política, consideramos que a sua pesquisa é:

  • Autorizada relativamente a quaisquer leis anti-hacking aplicáveis e não recomendaremos nem, moveremos qualquer ação legal contra si pela mesma.

  • Autorizada relativamente a quaisquer leis anti-evasão relevantes e não, apresentaremos qualquer queixa contra si por evasão a controlos tecnológicos.

  • Legal, útil para a segurança generalizada da Internet, e conduzida de boa-fé.

Prevê-se que cumpra todas as leis aplicáveis. Se uma ação judicial for iniciada por terceiros contra si por atividades que tenha conduzido de boa-fé, de acordo com esta política, daremos a conhecer esta autorização.

Se, em qualquer altura, tiver preocupações ou não estiver incerto se a sua investigação sobre segurança é consistente com esta política, por favor apresente um relatório através de um dos nossos canais oficiais (como determinado abaixo) antes de prosseguir.

Informamos que a política de porto seguro aplica-se apenas a reivindicações legais sob o controlo da organização que participa nesta política, e que a política não vincula terceiros independentes.

2.2. Orientações

Ao abrigo desta política, "investigação" significa atividades em que:

  • Notifica-nos assim que possível após descobrir um problema de segurança real ou potencial.

  • Faz todos os esforços para evitar violações da privacidade, degradação da experiência do utilizador, perturbação dos sistemas de produção e destruição ou manipulação de dados.

  • Explora apenas na medida do necessário para confirmar a presença de uma vulnerabilidade. Não utilizar a exploração para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando, ou utilizar a exploração para derivar para outros sistemas.

É-lhe igualmente solicitado:

  • Cumprir as regras, incluindo o seguimento desta política e quaisquer outros acordos relevantes. Se houver alguma inconsistência entre esta política e quaisquer outros termos aplicáveis, prevalecerão os termos da presente política.

  • Apenas interagir com as suas próprias contas de teste.

  • Limitar a criação de contas ao total de duas (2) contas para qualquer análise.

  • Utilizar apenas os canais oficiais para divulgar e/ou discutir connosco informações sobre vulnerabilidade.

  • Submeter uma vulnerabilidade por relatório, a menos que seja necessário encadear vulnerabilidades para demonstrar o respetivo impacto.

  • Apagar com segurança todos os dados recuperados durante a investigação, uma vez que o relatório seja submetido.

  • Testar apenas em sistemas no âmbito designado, respeitar os sistemas e atividades que estão fora desse âmbito.

  • Evitar a utilização de ferramentas de digitalização invasivas ou automatizadas de alta densidade para encontrar vulnerabilidades.

  • Não divulgar publicamente qualquer vulnerabilidade sem o consentimento prévio por escrito da Trading Point.

  • Não realizar qualquer ataque de "negação de serviço".

  • Não realizar ataques de caráter social e/ou de segurança física contra escritórios, utilizadores ou colaboradores da Trading Point.

  • Não realizar testes automatizados/escritos de formulários web, especialmente formulários "Contacte-nos" que são concebidos para os clientes contactarem a nossa equipa de experiência de cliente.

Uma vez estabelecido que existe uma vulnerabilidade ou que se depara involuntariamente com quaisquer dados sensíveis (incluindo informações pessoalmente identificáveis (PII), informações financeiras, informações proprietárias, ou segredos comerciais de qualquer parte), deverá parar o seu teste, notificar-nos imediatamente, e não revelar estes dados a mais ninguém. Deve também limitar o seu acesso aos dados mínimos necessários para demonstrar efetivamente a validação de conceito.

2.3. Reportar vulnerabilidade/canais oficiais

Por favor, reporte questões de segurança/descobertas de vulnerabilidade reais ou potenciais para o vulnerability.disclosure@xm.com, disponibilizando toda a informação relevante. Quanto mais detalhes fornecer, mais fácil será para nós fazer a triagem e corrigir o problema.

Para nos ajudar a fazer a triagem e priorizar as submissões, recomendamos que os seus relatórios:

  • Descrever o local ou caminho da aplicação onde a vulnerabilidade foi descoberta e o impacto potencial da exploração.

  • Oferecer uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade (scripts ou capturas de ecrã de validação do conceito são úteis).

  • Inclua o maior número possível de detalhes.

  • Incluir o endereço IP a partir do qual estava a testar, o endereço de email, agente do utilizador e nome(s) de utilizador utilizado na plataforma de negociação (se existente).

  • Submeter o relatório(s) em inglês.

Se pensar que a vulnerabilidade é grave ou que contém informação sensível, pode enviar um e-mail codificado PGP à nossa equipa através da nossa chave PGP.

2.4. Âmbito

a) Sistemas/serviços dentro do âmbito

Domínios

https://www.xm.comhttps://my.xm.com

App Android

Aplicação XM Android (com.xm.webapp)

App iOS

Aplicação XM iOS (id1072084799)

b) Sistemas/serviços fora do âmbito

Qualquer serviço (tal como serviços conectados), sistema, ou domínio não expressamente enumerado na secção "Sistemas/serviços dentro do âmbito" supracitada, estão excluídos do âmbito e não estão autorizados para testagem. Além disso, as vulnerabilidades encontradas nos sistemas dos nossos fornecedores não se enquadram no âmbito desta política e devem ser comunicadas diretamente ao fornecedor, de acordo com, a sua política de divulgação (se existente). Se não tiver a certeza se um sistema está ou não dentro do âmbito, contacte-nos para o vulnerability.disclosure@xm.com.

c) Vulnerabilidades dentro do âmbito

  • Injeção de SQL

  • Cross-Site Scripting (XSS)

  • Execução arbitrária de código (RCE)

  • Falsificação de solicitação entre sites (SSRF)

  • Autenticação interrompida e gestão de sessões

  • Referência de objetos diretos inseguros (IDOR)

  • Exposição de dados sensíveis

  • Travessia de diretório/caminho

  • Inclusão de ficheiro local/remoto

  • Cross-Site Request Forgery (CSRF) com alto impacto demonstrável

  • Reencaminhamento aberto sobre parâmetros sensíveis

  • Aquisição de subdomínios (para a aquisição de subdomínios adicionar uma mensagem amigável como: "Estamos a trabalhar nisto e estaremos de volta em breve.")

d) Vulnerabilidades fora do âmbito

Certas vulnerabilidades são consideradas fora do âmbito do programa de divulgação de vulnerabilidades. Estas vulnerabilidades fora do âmbito incluem, mas não estão limitadas a:

  • Questões de configuração de email incluindo configurações SPF, DKIM, DMARC

  • Vulnerabilidades de clickjacking que não conduzem a ações sensíveis, tais como modificação de contas

  • Self-XSS (ou seja, onde um utilizador precisaria de ser enganado para colar o código no seu navegador web)

  • Falsificação do conteúdo onde o impacto resultante é mínimo (ex: injeção de texto não-HTML)

  • Cross-Site Request Forgery (CSRF) onde o impacto resultante é mínimo (ex: CSRF em formulários de login ou de logout)

  • Reencaminhamento aberto — a menos que seja possível demonstrar um impacto adicional na segurança

  • Ataques CRLF onde o impacto resultante é mínimo

  • Injeção de cabeçalho HTTP onde o impacto resultante é mínimo

  • HttpOnly em falta ou flags de segurança em cookies não-sensíveis

  • Falta de boas práticas na configuração SSL/TLS e códigos

  • Cabeçalhos de segurança HTTP em falta ou mal configurados (ex: CSP, HSTS)

  • Formulários com controlos Captcha em falta

  • Enumeração de nome de utilizador/email através de mensagem de erro na página de login

  • Enumeração de nome de utilizador/email através de mensagem de erro de palavra-passe esquecida

  • Questões que requerem interação do utilizador improvável

  • Complexidade da palavra-passe ou qualquer outro assunto relacionado com a conta, ou políticas de palavra-passe

  • Falta de tempo limite de sessão

  • Ataque de força bruta

  • Questões de limites de avaliação para ações não-críticas

  • Vulnerabilidades do WordPress sem prova de explorabilidade

  • Divulgação da versão de software vulnerável sem prova de explorabilidade

  • Qualquer atividade que possa levar à interrupção do nosso serviço (DoS)

  • Falta de proteção root/bypass de proteção root (aplicações móveis)

  • Falta de fixação de certificados SSL/bypass de fixação de certificados SSL (aplicações móveis)

  • Falta de ocultação de código (aplicações móveis)

2.5. Tempos de resposta

A Trading Point está empenhada em coordenar consigo tão aberta e rapidamente quanto possível e fará os maiores esforços para cumprir os seguintes objetivos de resposta para os investigadores que participam no nosso programa:

  • O tempo até à primeira resposta (a partir do dia da submissão do relatório) é de três (3) dias úteis. No prazo de três dias úteis, confirmaremos que o seu relatório foi recebido.

  • O tempo para a triagem (desde a submissão do relatório) é de cinco (5) dias úteis.

Dentro das nossas possibilidades, confirmaremos a existência da vulnerabilidade e seremos o mais transparentes possível sobre as medidas que estamos a tomar durante o processo de resolução, bem como sobre questões ou desafios que possam atrasar esta. Tentaremos mantê-lo informado sobre o nosso progresso ao longo de todo o processo.

3. Recompensas

Valorizamos aqueles que dedicam tempo e esforço a reportar vulnerabilidades de segurança de acordo com esta política. Contudo, atualmente não oferecemos qualquer recompensa pela divulgação destas vulnerabilidades. Isto está sujeito a alterações no futuro.

4. Feedback

Se desejar proporcionar algum feedback ou sugestões para esta política, por favor contacte-nos para o vulnerability.disclosure@xm.com.

Agradecemos por ajudar a manter a Trading Point e os seus utilizadores seguros.

5. Impressão digital da chave PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Nota: por favor, encripte as suas mensagens com a chave PGP acima referida e inclua a sua própria chave pública no email.