ڈسکلوژر پالیسی برائے کمپیوٹر سسٹم کی خامیاں

1۔ تعارف

Trading Point Group (جسے آگے "Trading Point" کہا جارہا ہے) کسٹمر ڈیٹا کے تحفظ کے لیے سائبر سیکیورٹی کمیونٹی سے رجوع کرنے کی ضرورت اور مزید محفوظ حل اور ایپلیکیشنز بنانے کے لیے مل کر کام کرنے کی ضرورت کو تسلیم کرتا ہے۔ اس پالیسی کا مقصد سیکیورٹی ریسرچرز کو سسٹم میں موجود خامیوں اور عدم تحفظ کو دریافت کرنے کے لیے متعلقہ سرگرمیوں کے بارے میں واضح ہدایات فراہم کرنا ہے اور دریافت شدہ مسائل کو ہمیں جمع کروانے کے لیے ہماری ترجیحات سے آگاہ کرنا ہے۔

ہم ریسرچرز کا خیرمقدم کرتے ہیں ہے کہ وہ رضاکارانہ طور پر سیکیورٹی سسٹم سے متعلق خامیوں اور خطرات کی اطلاع دیں جنہیں وہ Trading Point سسٹم سے منسلک سمجھتے ہیں۔ یہ پالیسی بیان کرتی ہے کہ اس پالیسی میں کون سے سسٹمز اور ریسرچ کی اقسام شامل کی گئی ہیں اور ہمیں ان خامیوں کی رپورٹس کیسے جمع کی جائیں۔

خامیوں سے ہونے والے عدم تحفظ سے متعلق رپورٹس جمع کروانے کے لیے، اس پیج پر بیان کردہ شرائط و ضوابط کی پابندی ضروری ہے، اور Trading Point کو رپورٹ جمع کروا کر ریسرچرز یہ تسلیم کرتے ہیں کہ وہ ان شرائط و ضوابط کو پڑھ چکے ہیں اور ان سے مکمل طور پر اتفاق کرتے ہیں۔

2۔ شرائط و ضوابط

1۔2: سیف ہاربر / اتھارائزیشن

سسٹم میں خامیوں سے متعلق ریسرچ کرتے وقت، ہم توقع کرتے ہیں کہ آپ نے ایمانداری کے ساتھ اس پالیسی کی تعمیل کی ہے اور ہم سمجھتے ہیں کہ آپ کی ریسرچ:

  • کسی بھی قابل اطلاق اینٹی ہیکنگ قوانین کے حوالے سے اتھارائزڈ ہے اور ہم آپ کی ریسرچ کے لیے آپ کے خلاف کسی بھی قسم کی قانونی کارروائی عمل میں نہیں لائیں گے اور نہ ایسا کرنے کی تجویز کریں گے۔

  • کسی بھی قابل اطلاق اینٹی سرکم وینشن (فریب کاری یا دھوکہ دہی) قوانین کے حوالے سے اتھارائزڈ ہے اور ہم آپ کے خلاف سرکم وینشن آف ٹیکنالوجی کنٹرول کا کلیم نہیں کریں گے۔

  • تمام قانونی تقاضوں کو پورا کرتی ہے، انٹرنیٹ کی مجموعی سیکیورٹی کے لیے مددگار ہے، اور ایمانداری کے ساتھ انجام دی گئی ہے۔

آپ سے تمام قابل اطلاق قوانین کی تعمیل کرنے کی توقع کی جاتی ہے۔ اگر کسی تھرڈ پارٹی کی طرف سے آپ کے خلاف ایسی سرگرمیوں کے لیے قانونی کارروائی کی جاتی ہے جو آپ نے اس پالیسی کے مطابق نیک ارادے سے کی ہیں، تو ہم اس اتھارائزیشن کو ظاہر کر دیں گے۔

اگر کسی بھی وقت آپ کے کوئی خدشات ہیں یا آپ کو یقین نہیں ہے کہ آیا آپ کی سیکورٹی ریسرچ اس پالیسی سے مطابقت رکھتی ہے، تو برائے مہربانی آگے بڑھنے سے پہلے، ہمارے کسی آفیشل چینل (جیسا کہ ذیل میں بیان کیا گیا ہے) کے ذریعے رپورٹ جمع کروائیں۔

نوٹ کریں کہ سیف ہاربر اس پالیسی میں حصہ لینے والی آرگنائزیشن کے کنٹرول میں صرف قانونی کلیم پر لاگو ہوتا ہے، اور یہ کہ پالیسی آزاد تھرڈ پارٹیز کو پابند نہیں کرتی ہے۔

2۔2: ہدایات برائے رہنمائی

اس پالیسی کے تحت، "ریسرچ" کا مطلب ہے ایسی سرگرمیاں جن میں آپ:

  • جب کوئی حقیقی یا ممکنہ سیکیورٹی مسئلہ دریافت کریں تو ہمیں جلد از جلد مطلع کریں۔

  • پرائیویسی کی خلاف ورزیوں، صارفین کے بہترین تجربے میں کمی، پروڈکشن سسٹم میں خلل، اور ڈیٹا کی تباہی یا ہیرا پھیری سے بچنے کے لیے ہر ممکن کوشش کریں۔

  • ایکسپلائیٹ کا استعمال، صرف خامیوں/خطرات کی تصدیق کرنے کی حد تک کریں۔ ڈیٹا پر سمجھوتہ کرنے یا اسے چوری چھپے نکالنے، مستقل طور پر کمانڈ لائن تک رسائی قائم کرنے، یا دوسرے سسٹمز کو مرکز بنانے کے لیے ایکسپلائیٹ کا استعمال نہ کریں۔

آپ سے یہ بھی درخواست کی جاتی ہے کہ:

  • اس پالیسی اور دیگر متعلقہ ایگریمنٹس پر عمل کرنے کے ساتھ ساتھ، قواعد کے مطابق کام کریں۔ اگر اس پالیسی اور دیگر قابل اطلاق شرائط کے درمیان کوئی تضاد ہوتا ہے، تو اس پالیسی کی شرائط رائج ہوجائیں گی۔

  • صرف اپنے ٹیسٹ اکاؤنٹس کا استعمال کریں۔

  • ہر قسم کی ٹیسٹنگ کے لیے، اکاؤنٹس بنانے کی کُل تعداد صرف دو (2) تک محدود رکھیں۔

  • خامیوں/خطرات سے متعلق کسی بھی معلومات کی اطلاع دینے / یا اس بارے میں بات کرنے کے لیے، صرف آفیشل چیلنز کا استعمال کریں۔

  • ایک رپورٹ میں ایک خامی/مسئلہ جمع کروائیں، جب تک آپ کو خامیوں سے پیدا ہونے والے اثرات کو بیان کرنے کے لیے، انہیں اکٹھا کر کے دکھانے کی ضرورت نہ ہو۔

  • رپورٹ جمع ہوجانے کے بعد، ریسرچ کے دوران حاصل کردہ تمام ڈیٹا بحفاظت مٹا دیں / ختم کردیں۔

  • اپنی ٹیسٹنگ صرف ان اسکوپ سسٹم پر کریں، اور ان سسٹمز اور ایکٹیویٹیز کا احترام کریں جو اسکوپ سے باہر ہیں۔

  • سسٹم میں خرابیوں اور کمزوریوں کو تلاش کرنے کے لیے، زیادہ شدت والے ناگوار یا خودکار اسکیننگ ٹولز استعمال کرنے سے گریز کریں۔

  • Trading Point کے تحریری اجازت نامے کے بغیر، ان خامیوں یا خطرات کو عوامی طور پر عام نہ کریں۔

  • کسی بھی طرح کا "ڈینائیل آف سروس" اٹیک عمل میں نہیں لائیں۔

  • Trading Point کے دفاتر، صارفین، یا ملازمین کے خلاف سوشل انجینئرنگ اور/یا فیزیکل سیکورٹی اٹیک نہ کریں۔

  • ویب فارمز کی خودکار/اسکرپٹڈ ٹیسٹنگ نہ کریں، خاص طور پر "ہم سے رابطہ کریں" کے فارم جو کسٹمرز کے لیے ہماری کسٹمر سپورٹ ٹیم سے رابطہ کرنے کے لیے بنائے گئے ہیں۔

جب آپ یہ ثابت کر لیتے ہیں کہ سسٹم میں کوئی خامی موجود ہے یا آپ غیر ارادی طور پر کوئی حساس ڈیٹا دیکھ لیتے ہیں (جیسے ذاتی معلومات یا پرسنل آئیڈینٹیٹی انفارمیشن (PII)، مالی معلومات، ملکیت کی معلومات، یا کسی بھی پارٹی کے ٹریڈ سیکریٹ)، تو آپ اپنا ٹیسٹ لازمی روک کر ہمیں فوری طور پر مطلع کریں، اور اس ڈیٹا کے بارے میں کسی اور کو کچھ مت بتائیں۔ آپ کو پروف آف پرنسپل کو مؤثر طور پر بیان کرنے کے لیے درکار ڈیٹا تک اپنی رسائی کو بھی محدود کرنا چاہیے۔

3۔2: خامیوں سے متعلق رپورٹ کرنا / آفیشل چینلز

برائے مہربانی سیکیورٹی کے مسائل/ سسٹم کی موجودہ یا ممکنہ خامیاں، تمام متعلقہ معلومات کے ساتھ، vulnerability.disclosure@xm.com پر رپورٹ کریں۔ جتنی زیادہ تفصیلات آپ ہمیں فراہم کریں گے، ہمارے لیے اس مسئلے کی نوعیت کے لحاظ سے اسے حل کرنا اتنا ہی آسان ہوگا۔

اپنی جمع کردہ رپورٹس کو ان کی نوعیت کے لحاظ سے ترتیب اور ترجیح دینے میں ہماری مدد کرنے کے لیے، ہم تجویز کرتے ہیں کہ آپ اپنی رپورٹس میں:

  • اس جگہ یا ایپلیکیشن پاتھ کی وضاحت کریں جہاں خامی دریافت کی گئی ہے اور ایکسپلائٹیشن کے ممکنہ اثرات کی بھی نشاندہی کریں۔

  • خامیوں کو نقل کرنے کے لیے ضروری اقدامات کی تفصیلی وضاحت دیں (پروف آف پرنسپل، اسکرپٹس یا اسکرین شاٹس مددگار ثابت ہوں گے)۔

  • جتنا ممکن ہو، زیادہ سے زیادہ تفصیلات شامل کریں۔

  • وہ IP ایڈریس شامل کریں جس سے آپ ٹیسٹنگ کر رہے تھے، بشمول ای میل ایڈریس، ٹریڈنگ پلیٹ فارم میں استعمال ہونے والے یوزر-ایجنٹ اور یوزر نیم (اگر کوئی ہے)۔

  • اگر ممکن ہوتو اپنی رپورٹ انگریزی زبان میں جمع کروائیں۔

اگر آپ کو لگتا ہے کہ ان خامیوں سے ہونے والا مسئلہ یا خطرہ بہت سنگین ہے یا اس میں حساس معلومات موجود ہیں، تو آپ ہماری پبلک کیی فنگر پرنٹ (PGP) کا استعمال کرتے ہوئے ہماری ٹیم کو خفیہ انداز میں (اینکرپشن) ای میل بھیج سکتے ہیں۔

4۔2: اسکوپ

ا) ان اسکوپ سسٹم/سروس

ڈومین

https://www.xm.comhttps://my.xm.com

Android ایپ

XM Android ایپلیکیشن (com.xm.webapp)

iOS ایپ

XM iOS ایپلیکیشن (id1072084799)

ب) آؤٹ آف اسکوپ سسٹم/سروس

کوئی بھی سروس (جیسے منسلک سروس)، سسٹم، یا ڈومین، جو اوپر "ان اسکوپ سسٹم/سروس" سیکشن میں واضح طور پر درج نہیں ہے، اسکوپ سے خارج ہیں اور ٹیسٹنگ کے لیے اتھارائزڈ نہیں ہیں۔ اس کے علاوہ، ہمارے وینڈرز کی طرف سے سسٹمز میں پائے جانے والی خامیاں، اس پالیسی کے اسکوپ سے باہر ہیں اور اس کی رپورٹ براہ راست وینڈر کو ان کی ڈسکلوژر پالیسی (اگر کوئی ہے) کے مطابق دینی چاہئے۔ اگر آپ کو کسی سسٹم کا یقین نہیں ہے کہ وہ اسکوپ میں موجود ہے یا نہیں، تو ہم سے vulnerability.disclosure@xm.com پر رابطہ کریں۔

پ) ان اسکوپ خامیاں/مسائل

  • SQL انجیکشن

  • کراس سائیٹ اسکرپٹنگ (XSS)

  • ریموٹ کوڈ ایگزیکیوشن (RCE)

  • سرور سائیڈ ریکویسٹ فورجری (SSRF)

  • خراب یا نامکمل تصدیق اور سیشن مینیجمنٹ

  • انسیکیور ڈائیریکٹ آبجیکٹ ریفرنس (IDOR)

  • حساس ڈیٹا کا انکشاف

  • ڈائیریکٹری / پاتھ ٹریورسل

  • لوکل / ریموٹ فائل انکلوژن

  • ثابت شدہ انتہائی اثرات کے ساتھ کراس سائیٹ ریکویسٹ فورجری (CSRF)

  • حساس پیرامیٹرز پر اوپن ری ڈائریکٹ

  • سب ڈومین ٹیک اوور (سب ڈومین ٹیک اوور کے لیے، ایک دوستانہ پیغام شامل کریں جیسے: "ہم ابھی اس پر کام کررہے ہیں اور ہم جلد واپس آئیں گے۔")

ج) آؤٹ آف اسکوپ خامیاں/مسائل

بعض خامیوں کو ڈسکلوژر پروگرام کے اسکوپ سے باہر سمجھا جاتا ہے۔ ان آؤٹ آف اسکوپ خرابیوں یا خامیوں میں مندرجہ ذیل شامل ہیں، لیکن یہی تک محدود نہیں ہیں:

  • میل کانفیگریشن کے مسائل بشمول SPF ،DKIM ،DMARC سیٹنگ

  • خامیوں کو کلک جیکنگ کرنا جس سے کوئی حساس کاروائی عمل میں نہ آئے، جیسے اکاؤنٹ ماڈیفیکیشن

  • سیلف XSS (یعنی، جہاں یوزر کو اپنے ویب براؤزر میں کوڈ پیسٹ کرنے کی ضرورت پڑے گی)

  • کانٹینٹ سپوفنگ جہاں نتیجہ کا اثر کم سے کم ہوتا ہے (مثال کے طور پر، نان HTML ٹیکسٹ انجیکشن)

  • کراس سائیٹ ریکویسٹ فورجری (CSRF) جہاں نتیجہ کا اثر کم سے کم ہوتا ہے (مثال کے طور پر، لاگ ان یا لاگ آؤٹ فارمز میں CSRF)

  • اوپن ری ڈائریکٹ - جب تک اضافی سیکیورٹی کے اثرات نہ دکھائے جا سکیں۔

  • CRLF اٹیکس جہاں نتیجہ کا اثر کم سے کم ہوتا ہے۔

  • ہوسٹ ہیڈر انجیکشن جہاں نتیجہ کا اثر کم سے کم ہوتا ہے

  • غیر حساس کوکیز پر سیکیور فلیگس یا مسنگ HttpOnly

  • SSL/TLS کانفیگریشن اور سائیفرز میں بہترین طریقوں کا نہ ہونا

  • غلط کانفیگریشن یا بغیر کانفیگریشن کے HTTP سیکورٹی ہیڈرز (مثال کے طور پر، CSP اور HSTS)

  • CAPTCHA کنٹرولز کے بغیر فارمز

  • لاگ ان پیج کے ایرر میسج کے ذریعے یوزر نیم / ای میل کا شمار

  • پاس ورڈ بھولنے کے ایرر میسج کے ذریعے یوزر نیم / ای میل کا شمار

  • ایسے مسائل جن میں یوزر انٹریکشن کا امکان نہ ہو

  • پاس ورڈ کی پیچیدگی یا اکاؤنٹ یا پاس ورڈ کی پالیسیوں سے متعلق کوئی اور مسئلہ

  • سیشن ٹائم آؤٹ کی کمی

  • بروٹ فورس اٹیکس

  • غیر ضروری کارروائیوں کے لیے ریٹ لمٹ کے مسائل

  • ایکسپلائٹیشن کے پروف کے بغیر WordPress کی خامیاں

  • ایکسپلائٹیشن کے پروف کے بغیر کمزور سافٹ ویئر ورژن ڈسکلوژر

  • کوئی بھی سرگرمی جو ہماری سروس میں خلل کا باعث بن سکتی ہے یعنی ڈسرپشن آف سروس (DoS)

  • روٹ پروٹیکشن کی کمی / روٹ پروٹیکشن کا بائی پاس (موبائل ایپلیکیشن)

  • SSL سرٹیفکیٹ پننگ کی کمی / SSL سرٹیفکیٹ پننگ کا بائی پاس (موبائل ایپلیکیشن)

  • کوڈ اوبفسکیشن یعنی مشین کوڈنگ کی کمی (موبائل ایپلیکیشن)

5۔2: رسپانس ٹائم

Trading Point آپ کے ساتھ کھل کر اور جلد از جلد رابطہ قائم کرنے کے لیے کوشاں ہے اور ہمارے پروگرام میں حصہ لینے والے ریسرچرز کے لیے درج ذیل رسپانس ٹارگیٹس کو پورا کرنے کے لیے بھرپور کوشش کرے گا:

  • پہلے رسپانس (جواب) کا وقت (رپورٹ جمع کرنے کے دن سے) تین (3) کاروباری دن ہے۔ تین کاروباری دنوں کے اندر، ہم آپ کو مطلع کردیں گے کہ ہمیں آپ کی رپورٹ موصول ہوچکی ہے۔

  • رپورٹ کی نوعیت یا سنگینی کے لحاظ سے اسے تقسیم کرنے کا وقت (رپورٹ جمع کرنے سے) پانچ (5) کاروباری دن ہے۔

اپنی بہترین کوششوں کے ساتھ، ہم آپ کے لیے خامیوں اور اس سے ہونے والے مسائل کی موجودگی کی تصدیق کریں گے اور انہیں ٹھیک کرنے کے عمل میں کیے جانے والے اقدامات اور جن چیلنجز کی وجہ سے مسائل کے حل میں تاخیر ہو سکتی ہے، ان سب کے بارے میں ہر ممکن حد تک شفاف رہیں گے۔ ہم پوری کارروائی کے دوران آپ کو اپنی پیشرفت سے آگاہ رکھنے کی کوشش کریں گے۔

3۔ ریوارڈ

ہم ان تمام افراد کی قدر کرتے ہیں جو اس پالیسی کے مطابق، سیکیورٹی سسٹم میں خامیوں کو رپورٹ کرنے کے لیے اپنا وقت اور محنت لگاتے ہیں۔ تاہم، فی الحال ہم سسٹم میں خامیاں ڈسکلوژ کرنے کے لیے کوئی انعام یا معاوضہ نہیں دیتے ہیں لیکن مستقبل میں اس میں تبدیلی متوقع ہے۔

4۔ رائے (فیڈ بیک)

اگر آپ اس پالیسی کے بارے میں اپنی کوئی رائے یا تجاویز دینا چاہتے ہیں تو برائے مہربانی ہم سے vulnerability.disclosure@xm.com پر رابطہ کریں۔

Trading Point اور ہمارے صارفین کو محفوظ رکھنے میں مدد کا شکریہ۔

5۔ PGP پبلک کیی فنگر پرنٹ

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

نوٹ: برائے مہربانی اپنے پیغامات کو مندرجہ بالا PGP کیی سے اینکرپٹ کریں اور ای میل میں اپنی پبلک کیی بھی شامل کریں۔