Güvenlik Açığı İfşa Politikası

1. Giriş

Trading Point Group (buradan itibaren “Trading Point”) müşteri verilerini korumak için siber güvenlik topluluğuna ulaşıp daha güvenli çözümler ve uygulamalar oluşturmak için birlikte çalışma ihtiyacını kabul etmektedir. Bu politika, güvenlik araştırmacılarına güvenlik açığı keşfetme faaliyetlerini gerçekleştirmeye yönelik net bir kılavuz sunmayı ve keşfedilen güvenlik açıklarının bize nasıl gönderilmesini tercih ettiğimizi açıklamayı amaçlamaktadır.

Araştırmacıların Trading Point sistemleriyle bağlantılı olarak bulabildikleri güvenlik açıklarını gönüllü olarak bildirmelerinden memnuniyet duyarız. Bu politika hangi sistemlerin ve araştırma türlerinin bu politikada yer aldığını ve güvenlik açığı raporlarını bize nasıl göndereceklerini açıklar.

Güvenlik açığı raporlarının gönderilmesi bu sayfada belirlenmiş şartlara ve koşullara tabidir ve araştırmacılar Trading Point'e bir güvenlik açığı raporu göndererek bu şartları ve koşulları okuyup anladıklarını kabul ederler.

2. Şartlar ve Koşullar

2.1. Güvenli Liman/Yetkilendirme

Bu politikaya uymak için iyi niyetli çaba göstererek güvenlik açığı araştırması gerçekleştirirken araştırmanızın:

  • Tüm geçerli bilgisayar korsanlığı ile mücadele yasalarınca izin verilmiş olduğunu kabul ederiz. Böylece araştırmanız nedeniyle size karşı yasal işlemde bulunulmasını önermeyiz veya yasal işlem başlatmayız.

  • Tüm ilgili atlatmayı önleme yasalarınca izin verilmiş olduğunu kabul ederiz. Böylece teknoloji denetimlerinin atlatılmasıyla ilgili olarak size karşı yasal işlemde bulunmayız.

  • Yasalara uygun, internetin genel güvenliğine yardımcı ve iyi niyetle gerçekleştirilmiş olduğunu kabul ederiz.

Tüm geçerli yasalara uymanız beklenmektedir. İyi niyetli olarak gerçekleştirdiğiniz faaliyetler nedeniyle size karşı üçüncü bir tarafça yasal işlem başlatılması halinde bu iznin bilinmesini sağlayacağız.

Endişeleriniz olursa veya güvenlik araştırmanızın bu politikayla tutarlı olup olmadığından emin olamazsanız lütfen devam etmeden önce (aşağıda belirlendiği şekilde) resmi kanallarımızdan biri üzerinden bir rapor gönderin.

Güvenli limanın yalnızca bu politikada yer alan kurumun kontrolü altındaki hukuki davalar için geçerli olduğunu ve politikanın bağımsız üçüncü tarafları bağlamadığını dikkate alın.

2.2. Kılavuzlar

Bu politika altında “araştırma” aşağıdakileri yapmanızı gerektiren faaliyetler anlamına gelir:

  • Gerçek veya potansiyel bir güvenlik sorunu keşfettikten sonra bizi en kısa zamanda bilgilendirin.

  • Gizlilik ihlallerinden, kullanıcı deneyimini kötüleştirmekten, üretim sistemlerinde kesintiden ve verilerin yok edilmesinden ya da manipülasyonundan kaçınmak için her türlü çabayı gösterin.

  • Açıklardan yararlanan yazılımları yalnızca bir güvenlik açığının varlığını onaylamak için gerekli olduğu ölçüde kullanın. Açıklardan yararlanan bir yazılımı, veri güvenliğini ihlal etmek veya veri çalmak, kalıcı komut satırı erişimi kurmak veya diğer sistemlere uygun hale getirmek için kullanmayın.

Ayrıca aşağıdakileri yapmanız da istenmektedir:

  • Bu politikaya uyun ve diğer ilgili sözleşmelere de uymak dahil olmak üzere kurallara uygun hareket edin. Bu politika ile diğer geçerli koşullar arasında bir tutarsızlık olursa bu politikanın koşulları geçerli olur.

  • Yalnızca kendi test hesaplarınızla etkileşime girin.

  • Herhangi bir test için hesap oluşturmayı iki (2) hesapla sınırlandırın.

  • Güvenlik açığı bilgisini açıklamak ve/veya bizimle tartışmak için sadece resmi kanalları kullanın.

  • Etkisini göstermek için güvenlik açıklarını birleştirmeniz gerekmediği sürece her bir güvenlik açığı için ayrı bir rapor hazırlayın.

  • Raporu gönderdikten sonra toplanan tüm verileri güvenli bir şekilde silin.

  • Testleri yalnızca kapsam dahilindeki sistemlerde gerçekleştirin ve kapsam dışındaki sistemlere ve faaliyetlere saygı gösterin.

  • Güvenlik açıklarını bulmak için yüksek yoğunlukta istilacı veya otomatik tarama araçlarını kullanmaktan kaçının.

  • Trading Point'in önceden yazılı onayını almaksızın hiçbir güvenlik açığını kamuya açıklamayın.

  • Herhangi bir “Hizmet engelleme” saldırısı gerçekleştirmeyin.

  • Trading Point'in ofislerine, kullanıcılarına veya çalışanlarına karşı sosyal mühendislik ve/veya fiziksel güvenlik saldırıları düzenlemeyin.

  • Web formlarında özellikle de müşterilerin müşteri deneyimi ekibimizle iletişime geçmesi için tasarlanmış “İletişim” formlarında otomatik/betikleştirilmiş testler yapmayın.

Bir güvenlik açığının bulunduğunu saptadığınızda veya istemeden herhangi bir hassas veriyle karşılaştığınızda (kimliği tanımlayabilir bilgiler (PII), finansal bilgiler, gizli bilgiler veya herhangi bir tarafın ticari sırları da dahil olmak üzere) testinizi durdurmalı, hemen bizi bilgilendirmeli ve verileri başka hiçkimseye açıklamamalısınız. Aynı zamanda erişiminizi kavram kanıtını sunmak için gereken en az veriyle sınırlandırmalısınız.

2.3. Bir Güvenlik Açığını Bildirme/Resmi Kanallar

Lütfen güvenlik sorunlarını/gerçek veya potansiyel güvenlik açığı bulgularını gerekli tüm bilgileri sağlayarak vulnerability.disclosure@xm.com üzerinden bildirin. Ne kadar çok bilgi sağlarsanız bizim için sorunun önem sırasını belirleyip çözmek o kadar kolay olacaktır.

Gönderileri önemine göre sıralayıp önceliklendirmemize yardımcı olmak için raporlarınızda aşağıdakilerin dikkate alınmasını öneriyoruz:

  • Güvenlik açığının keşfedildiği konumu ve uygulama yolunu ve istismarın olası etkisini açıklayın.

  • Güvenlik açığını yeniden üretmek için gereken adımların ayrıntılı bir açıklamasını sunun (kavram kanıtı betikleri veya ekran görüntüleri faydalı olur).

  • Mümkün olduğunca fazla detay ekleyin.

  • Testi gerçekleştirdiğiniz IP adresini, e-posta adresini, kullanıcı aracısını ve (varsa) yatırım platformlarında kullanılan kullanıcı adını/adlarını dahil edin.

  • Mümkünse İngilizce yazın.

Güvenlik açığının ciddi olduğunu veya hassas bilgiler içerdiğini düşünüyorsanız, oldukça iyi gizlilik (PGP) anahtarımızı kullanarak ekibimize bir oldukça iyi gizlilikle (PGP) şifrelenmiş bir e-posta gönderebilirsiniz.

2.4. Kapsam

a) Kapsam dahilindeki sistemler/hizmetler

Alan adları

https://www.xm.comhttps://my.xm.com

Android uygulaması

XM Android uygulaması (com.xm.webapp)

iOS uygulaması

XM iOS uygulaması (id1072084799)

b) Kapsam dışı sistemler/hizmetler

Yukarıdaki “Kapsam dahilindeki sistemler/hizmetler” listesinde açıkça yer almayan her hizmet (bağlı hizmet olarak), sistem veya alan adı kapsam dışıdır ve test yapılmasına izin verilmez. Buna ek olarak, satıcılarımıza ait sistemlerde bulunan güvenlik açıkları bu politikanın kapsamı dışındadır ve (varsa) gizlilik politikalarına uygun olarak doğrudan satıcıya bildirilmelidir. Bir sistemin kapsam dahilinde olup olmadığından emin değilseniz vulnerability.disclosure@xm.com adresinden bizimle iletişime geçebilirsiniz.

c) Kapsam dahilindeki güvenlik açıkları

  • SQL enjeksiyonu

  • Siteler arası betik çalıştırma (XSS)

  • Uzaktan kod yürütme (RCE)

  • Sunucu taraflı istek sahteciliği (SSRF)

  • Kimlik doğrulaması ve oturum yönetiminin ele geçirilmesi

  • Güvenli olmayan doğrudan nesne başvurusu (IDOR)

  • Hassas veri ifşası

  • Dizin/yol atlama

  • Yerel/uzaktan dosya dahil etme

  • Kanıtlanabilir yüksek etkili siteler arası istek sahtekarlığı (CSRF)

  • Hassas parametrelerde açık yeniden yönlendirme

  • Alt alan adı devralma (alt alan adı devralmalarda şunun gibi dostça bir mesaj ekleyin: “Sayfa üzerinde çalışıyoruz ve kısa süre sonra geri döneceğiz.”)

d) Kapsam dışı güvenlik açıkları

Güvenlik açığı ifşa programı için belirli güvenlik açıkları kapsam dışı kabul edilmektedir. Kapsam dışı güvenlik açıkları aşağıdakileri içerir ancak bunlarla sınırlı değildir:

  • Gönderici politikası çerçevesi (SPF), alan adı anahtarlarıyla tanımlanmış e-posta (DKIM), etki alanı tabanlı ileti kimlik doğrulama, raporlama ve uygunluk (DMARC) ayarlarını içeren e-posta yapılandırma sorunları

  • Hesap üzerinde değişiklik gibi hassas eylemlere yol açmayan tıklama hırsızlığı (clickjacking) güvenlik açıkları

  • Self-XSS (yani bir kullanıcının web tarayıcısına kod yapıştırmak üzere kandırılmasının gerekeceği bir durum)

  • Ortaya çıkan etkinin minimum olduğu içerik sahteciliği (ör. HTML olmayan metin ekleme)

  • Ortaya çıkan etkinin minimum olduğu siteler arası istek sahtekarlığı (CSRF) (ör. giriş veya çıkış yapma formlarındaki siteler arası istek sahtekarlığı (CSRF))

  • Açık yönlendirme (ilave bir güvenlik etkisi sergilenmediği sürece)

  • Ortaya çıkan etkinin minimum olduğu satır başı ve yeni satır (CRLF) saldırıları

  • Ortaya çıkan etkinin minimum olduğu HTTP üst bilgi enjeksiyonu

  • Hassas olmayan çerezlerde eksik HttpOnly veya Secure bayrakları

  • SSL/TLS konfigürasyonunda ve şifrelemelerinde eksik en iyi uygulamalar

  • Eksik veya yanlış konfigüre edilmiş HTTP güvenlik üstbilgileri (ör. İçerik güvenliği politikası (CSP) ve HSTS (HTTP sıkı taşıma güvenliği))

  • İnsan ve bilgisayar arasında ayrım yapan tam otomatik genel turing testi (Captcha) denetimlerinin olmadığı formlar

  • Giriş sayfası hata mesajı üzerinden kullanıcı adı/e-posta listeleme

  • Unutulan şifre hata mesajı üzerinden kullanıcı adı/e-posta listeleme

  • Olası olmayan kullanıcı etkileşimi gerektiren sorunlar

  • Şifre zorluğuyla veya hesap veya şifre politikalarıyla ilişkili başka bir sorun

  • Oturumun zaman aşımına uğramaması

  • Kaba kuvvet saldırıları

  • Kritik olmayan eylemler için istek/işlem sınırlandırma sorunları

  • Sömürülebilirlik kanıtı içermeyen WordPress güvenlik açıkları

  • Sömürülebilirlik kanıtı içermeyen saldırıya açık yazılım sürümü ifşası

  • Hizmet kesintisine (DoS) yol açabilecek herhangi bir etkinlik

  • Root korumasının olmaması/Root korumasının atlatılması (mobil uygulamalar)

  • SSL sertifikası sabitlemenin olmaması/SSL sertifikası sabitlemenin atlanması (mobil uygulamalar)

  • Kod gizlemenin olmaması (mobil uygulamalar)

2.5. Yanıt süreleri

Trading Point sizinle mümkün olduğunca açık ve hızlı koordine olmaya odaklıdır ve programımızda yer alan araştırmacılar için aşağıdaki yanıt sürelerine uymak için elinden gelen çabayı gösterecektir:

  • İlk yanıt süresi (raporun gönderildiği günden itibaren) üç (3) iş günüdür. Üç iş günü içinde raporunuzun alındığını onaylayacağız.

  • Önemine göre sıralamamız için gereken süre (raporun gönderilmesinden itibaren) beş (5) iş günüdür.

Elimizden geldiğince güvenlik açığının varlığını size onaylayacağız ve iyileştirme süreci boyunca hangi adımları attığımızın yanı sıra çözümü geciktirebilecek sorunlar veya zorluklar hakkında mümkün olduğunca şeffaf olacağız. Süreç boyunca sizi ilerlemeler konusunda bilgilendirmeye çalışacağız.

3. Ödüller

Güvenlik açıklarını bu politikaya uygun olarak bildirmek için zaman ayırıp çaba gösterenlere değer veriyoruz. Ancak şu anda güvenlik açığı ifşaları için herhangi bir ödül sunmuyoruz. Bu durum, ilerleyen zamanlarda değişebilir.

4. Geri bildirim

Bu politika ile ilgili geri bildirimde bulunmak veya öneri sunmak isterseniz lütfen bizimle vulnerability.disclosure@xm.com e-posta adresi üzerinden iletişime geçin.

Trading Point'i ve kullanıcılarımızın güvenliğini sağlamaya yardımcı olduğunuz için teşekkür ederiz.

5. Oldukça iyi gizlilik (PGP) anahtarı parmak izi

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Trading Point güvenlik açığı ifşası oldukça iyi gizlilik (PGP) anahtarını indirin

Not: Lütfen yukarıdaki oldukça iyi gizlilik (PGP) anahtarı ile mesajlarınızı şifreleyin ve e-postaya kendi açık anahtarınızı dahil edin.