Политика уведомлений об уязвимостях

1. Введение

Группа компаний Trading Point Group (здесь и далее «Trading Point») в своей работе придерживается принципа необходимости сотрудничать с сообществом из сферы информационной безопасности в целях защиты пользовательских данных и создания более защищенных решений и приложений. Настоящая политика имеет целью предоставить всем аналитикам из данной сферы четкие руководящие принципы для проведения мероприятий по оценке уязвимостей и пожелания по предоставлению в нашу компанию информации о найденных уязвимостях.

Мы всецело приветствуем инициативу аналитиков по представлению отчетов по уязвимостям в добровольном порядке, которые могут иметь место в системах Trading Point. В настоящей политике приведено описание систем и видов исследований, рассмотренных в политике, а также порядок представления отчетов по уязвимостям в нашу компанию.

Направлять отчеты об уязвимостях следует согласно условиям, приведенным на данной странице. Направляя такой отчет в компанию Trading Point, аналитик подтверждает, что прочел настоящие условия и выражает согласие с ними.

2. Условия и положения

2.1 Действия по ограничению аналитиков от ответственности (разрешение на проведения анализа)

Мы ожидаем от вас, аналитиков по кибербезопасности, добросовестного и честного подхода в проведении анализа уязвимостей и составлении отчетов. Отчеты должны быть выполнены в соответствии с положениями настоящей политики, а также:

  • должны соответствовать требованиям всех действующих законов в отношении противодействия компьютерным злоумышленникам. С нашей стороны мы обязуемся не обращаться в правоохранительные органы и не возбуждать правового преследования в отношении вас из-за вашей работы по составлению отчетов об уязвимостях наших систем;

  • должны соответствовать требованиям всех действующих законов, предусматривалющих ответственность за обход защиты компьютерных систем. С нашей стороны мы обязуемся не обращаться в правоохранительные органы с заявлениями в отношении вас за ваши действия по обходу защиты систем;

  • должны быть выполнены в соответствии с законом и должны способствовать повышению общей безопасности Интернета, а также должны быть составлены в соответствии с принципами честности и добросовестности;

Мы ожидаем от вас работы в соответствии со всеми применимыми законами. В случае, если в отношении вас какие-либо третьи лица будут инициировать за вашу деятельность, которую вы ведете в рамках настоящей политики, уголовные или административные преследования, мы предадим огласке наше разрешение на проведение анализа уязвимостей.

Если в какой-либо момент времени у вас появятся сомнения относительно соответствия вашего исследования настоящей политике, просим вас остановить работу и отправить отчет в том виде, в котором он есть на тот момент, через один из наших официальных каналов (приведенных ниже в настоящем документе).

Обращаем ваше внимание на то, что положения данного раздела «Действия по ограничению аналитиков от ответственности» относятся только к юридическим жалобам и требованиям, которые могут быть направлены организацией, предусмотренной в данной политике, и на то, что данная политика не накладывает каких-либо обязательств на третьи лица.

2.2. Руководящие принципы

В контексте настоящей политики под исследованиями понимается деятельность, в ходе которой вы:

  • оповещаете нашу компанию о найденной фактической или возможной (потенциальной) проблеме с безопасностью в кратчайшие сроки;

  • предпринимаете все действия во избежание нарушений конфиденциальности, ухудшения пользовательского опыта и неполадок продуктовых систем, а также уничтожения данных или их злоупотребления;

  • используете эксплоиты только в той мере, в какой это необходимо для подтверждения наличия уязвимости. Вы не пользуетесь эксплоитами в целях компрометации или эксфильтрации данных, установления постоянного доступа через командную строку, или в целях доступа к другим системам.

Вы также должны:

  • играть по правилам, в том числе, соблюдать положения настоящий политики и всех прочих соответствующих соглашений. При наличии несоответствий между настоящей политикой и прочими применимыми законами преобладающее значение имеет настоящая политика;

  • работать только с собственными тестовыми счетами;

  • в ходе проведения любых операций по тестированию создавать не более 2 (двух) счетов;

  • для разглашения и (или) обсуждения информации об уязвимостях пользоваться только официальными каналами;

  • в каждом отчете сообщать только об одной уязвимости, кроме случаев, когда в отчет необходимо включать несколько уязвимостей в целях демонстрации их совместного влияния на уровень безопасности;

  • после направления отчета надежно удалять все данные, полученные в ходе исследования;

  • проводить тестирование только в отношении систем, включенных в объем тестирования, не проникать в системы и не нарушать работу других систем, которые не входят в объем тестирования;

  • не применять высокочастотные проникающие или автоматизированные инструменты сканирования в целях поиска уязвимостей;

  • не размещать в свободном доступе никакие найденные уязвимости без письменного разрешения на это от компании Trading Point;

  • не проводить DoS-атак;

  • не проводить атак типа «Социальная инженерия» и (или) физически не нарушать периметры безопасности офисов компании Trading Point, а также не взаимодействовать с пользователями и сотрудниками компании физически без их согласия;

  • не проводить автоматизированное (скриптовое) тестирование веб-форм, особенно форм для связи, которые предназначены для связи клиентов со службой клиентской поддержки.

После того как вы обнаружите уязвимости или непреднамеренно получите доступ к конфиденциальной информации (в том числе персональным данным, финансовой информации, интеллектуальной собственности, коммерческой тайне каких-либо лиц), вы обязаны прекратить анализ, немедленно уведомить нас об этом и не передавать полученные данные кому-либо другому. Вы также должны ограничить свой доступ к данным только той информацией, которая необходима для доказательства наличия уязвимости.

2.3. Предоставление отчетов об уязвимостях. Официальные каналы

Просим направлять сведения об угрозах безопасности и фактически обнаруженных уязвимостях в письме на адрес vulnerability.disclosure@xm.com, в котором просим привести всю соответствующую информацию. Чем более подробную информацию вы сообщите, тем нам будет проще установить причину уязвимости и устранить ее.

В целях упрощения работы с вашими отчетами мы рекомендуем вам в своих отчетах:

  • приводить описание местоположения или пути в приложении, где была найдена уязвимость, и вероятный эффект эксплуатации уязвимости на безопасность систем компании;

  • приводить подробное описание действий, необходимых для повторного воспроизведения уязвимости (будут весьма полезны скрипты и скриншоты в доказательство уязвимости);

  • приводить как можно больше подробной информации;

  • указывать IP-адрес, с которого вы проводили тестирование, адрес эл. почты, а также имена пользователей на торговой платформе, если вы таковыми пользовались;

  • по возможности, предоставлять информацию на английском языке.

Если вы считаете, что найденная уязвимость весьма серьезна или она может привести к утечке конфиденциальной информации, вы можете направить нам эл. письмо, зашифрованное методом PGP-шифрования, с помощью нашего PGP-ключа.

2.4 Объем тестирования

а) Включенные в объем тестирования системы и сервисы

Домены

https://www.xm.comhttps://my.xm.com

Приложение для Android

Приложение XM для Android (com.xm.webapp)

Приложение для iOS

Приложение XM для iOS (id1072084799)

б) Не включенные в объем тестирования системы и сервисы

Любые сервисы (к примеру, подключенные сервисы), системы или домены, явно не указанные в разделе «Системы и сервисы, включенные в объем анализа», приведенном выше, исключаются из объема анализа, и к таким сервисам, системам или доменам доступ для тестирования закрыт. Кроме того, уязвимости, обнаруженные в системах наших поставщиков, не включаются в сферу действия настоящей политики, и о них следует сообщать непосредственно поставщикам, согласно их действующей политике по разглашению информации, при наличии таковой. При наличии сомнений относительно попадания (непопадания) системы в объем анализа направляйте нам вопросы в письме на адрес vulnerability.disclosure@xm.com.

в) Включенные в тестирование уязвимости

  • SQL-инъекции;

  • межсайтовый скриптинг (XSS);

  • удаленное выполнение кода (RCE);

  • подделка запросов на стороне сервера (SSRF);

  • сброс авторизации и управление сессиями;

  • небезопасные прямые ссылки на объект (IDOR);

  • доступ к чувствительным данным;

  • возможность просмотра каталогов и файлов;

  • локальное и удаленное внедрение файлов;

  • межсайтовая подделка запросов (CSRF) с очевидно высоким влиянием на безопасность;

  • непроверенная переадресация на чувствительные параметры;

  • захват поддоменов (при захвате поддомена добавляйте на сайты безобидную надпись, к примеру, такую: «Мы работаем над устранением неполадки и вскоре работа сервиса возобновится»).

г) Не включенные в объем тестирования уязвимости

Некоторые виды уязвимостей не включаются в программу по нахождению уязвимостей. В число таких уязвимостей, помимо прочих, входят:

  • проблемы, связанные с настройками почты, в том числе настройками SPF, DKIM и DMARC;

  • уязвимости, эксплуатируемые методами кликджекинга и не ведущие к опасным последствиям, к примеру, внесению изменений в аккаунт (счет);

  • уязвимости вида self-XSS, то есть такие ситуации, при которых пользователя вынуждают вставлять программный код в свой веб-браузер;

  • подмена содержимого, при которой влияние на безопасность минимально (к примеру, внедрение текста, не являющегося кодом HTML);

  • межсайтовая подделка запросов (CSRF), при которой влияние на безопасность системы минимально (к примеру, подделка запросов в формах входа или выхода из системы);

  • непроверенная переадресация, кроме случаев, когда имеет место дополнительное влияние на безопасность системы;

  • CRLF-инъекции, при которых влияние на безопасность системы минимально;

  • инъекция заголовка хоста, при которой влияние на безопасность минимально;

  • отсутствие флагов HttpOnly или Secure в некритичных файлах куки;

  • невыполнение рекомендованных действий в настройке конфигураций SSL/TLS и в зашифрованных сообщениях;

  • отсутствующие или неверно прописанные HTTP-заголовки безопасности (к примеру, CSP и HSTS);

  • отсутствие методов CAPTCHA в формах;

  • указание имени пользователя или адреса эл. почты в сообщениях об ошибке на странице входа в аккаунт;

  • указание имени пользователя или адреса эл. почты в сообщениях об ошибке «Забыл пароль»;

  • уязвимости, требующие нестандартных пользовательских действий, совершение которых маловероятно;

  • недостаточная сложность паролей и все прочие проблемы, связанные с политиками выбора паролей и настройками счетов;

  • отсутствие методов завершения сессии по истечении определенного времени;

  • брутфорс-атаки;

  • отсутствие ограничений по частоте запросов в отношении некритичных действий;

  • уязвимости системы управления WordPress без очевидных возможностей эксплуатации;

  • сообщение об уязвимых версиях ПО без доказательств возможности эксплуатации;

  • любые действия, которые могут привести к отказу работы наших сервисов (DoS);

  • отсутствие мер, препятствующих получению рут-доступа (обход защиты от получения рут-доступа) в мобильных устройствах;

  • отсутствие внедрения SSL-сертификата в код мобильного приложения (обход внедрения SSL-сертификата в код мобильного приложения);

  • отсутствие обфускации кода (мобильные приложения);

2.5 Время ответа

Компания Trading Point намерена делать всё возможное, чтобы сотрудничать с вами максимально открыто и максимально быстро отвечать на все ваши запросы. Компания будет стремиться отвечать на ваши запросы и пожелания в течение следующих сроков для ответов, которые специально предусмотрены в отношении исследователей, участвующих в нашей программе:

  • время первого ответа (начиная со дня предоставления отчета) составляет 3 (три) рабочих дня. В течение этих рабочих дней мы направим вам сообщение о том, что ваш отчет принят;

  • время на рассмотрение отчета (начиная со дня его отправления) составляет 5 (пять) рабочих дней.

По мере своих возможностей мы направим вам подтверждение наличия уязвимости и будем стараться быть максимально прозрачными и открытыми относительно действий, которые мы предпринимаем для устранения уязвимости, а также проблем и сложностей, которые могут привести к задержкам в устранении уязвимостей. Мы постараемся сообщать вам о ходе рассмотрения и устранения уязвимостей.

3. Вознаграждение

Мы ценим время и усилия, потраченные на нахождение уязвимостей в наших системах безопасности и составление отчетов по ним. Однако в настоящее время мы не предлагаем никакого вознаграждения за сообщения об уязвимостях. В дальнейшем, возможно, наша позиция по выплате вознаграждений изменится.

4. Обратная связь

Если вы хотите предоставить обратную связь или пожелания в отношении настоящей политики, направляйте нам письма на адрес эл. почты vulnerability.disclosure@xm.com.

Благодарим вас за ваш вклад в безопасность и защиту компании Trading Point и наших пользователей.

5. Отпечаток PGP-ключа

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Скачать PGP-ключ для направления сведений по обнаруженным уязвимостям компании Trading Point

Примечание. При направлении писем просим шифровать свои сообщения при помощи указанного выше PGP-ключа и прикладывать к письму свой публичный ключ.