Otwórz konto tutaj

Polityka ujawniania luk

  1. XM PL
  2. Polityka ujawniania luk

1. Wstęp

Trading Point Group (zwana dalej „Trading Point”) uznaje potrzebę nawiązania kontaktu ze społecznością zajmującą się cyberbezpieczeństwem w celu ochrony danych klientów i współpracy w celu tworzenia bezpieczniejszych rozwiązań i aplikacji. Niniejsza polityka ma na celu dostarczenie analitykom bezpieczeństwa jasnych wytycznych dotyczących przeprowadzania czynności związanych z wykrywaniem luk w zabezpieczeniach oraz przekazanie naszych preferencji dotyczących sposobu zgłaszania wykrytych luk w naszych zabezpieczeniach.

Analitycy mogą dobrowolnie zgłaszać znalezione luki w zabezpieczeniach systemów Trading Point. Niniejsza polityka opisuje jakie systemy i rodzaje badań są objęte tą polityką oraz jak przesyłać do nas raporty o lukach w zabezpieczeniach.

Przesyłanie raportów o lukach w zabezpieczeniach podlega warunkom określonym na tej stronie, a przesyłając raport o lukach w zabezpieczeniach do Trading Point analitycy potwierdzają, że przeczytali i akceptują te warunki.

2. Warunki

2.1. Bezpieczna przystań / Autoryzacja

Podczas przeprowadzania badania luk w zabezpieczeniach, wykazując starania w dobrej wierze, aby zachować zgodność z tą polityką, uznajemy, że twoje badanie jest:

  • Dozwolone w odniesieniu do wszelkich obowiązujących przepisów antyhakerskich i nie będziemy zalecać ani podejmować działań prawnych przeciwko tobie w związku z twoimi badaniami.

  • Dozwolone w odniesieniu do wszelkich odpowiednich przepisów przeciwdziałających obchodzeniu i nie będziemy wnosić przeciwko tobie roszczeń z tytułu obchodzenia kontroli technologicznych.

  • Zgodne z prawem, pomocne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Oczekuje się od ciebie przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli strona trzecia podejmie przeciwko tobie działania prawne w związku z działaniami, które prowadziłeś/-aś w dobrej wierze zgodnie z niniejszą polityką, poinformujemy o tym upoważnieniu.

Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy twoje badania bezpieczeństwa są zgodne z tymi zasadami, przed podjęciem dalszych działań prześlij zgłoszenie za pośrednictwem jednego z naszych oficjalnych kanałów (jak określono poniżej).

Należy pamiętać, że bezpieczna przystań ma zastosowanie wyłącznie do roszczeń prawnych będących pod kontrolą organizacji uczestniczącej w tej polityce i że polityka nie wiąże niezależnych stron trzecich.

2.2 Wytyczne

Zgodnie z tą polityką „badania” oznaczają działania, w ramach których:

  • Powiadamiasz nas jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu z bezpieczeństwem.

  • Dokładasz wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia komfortu użytkowania, zakłóceń w systemach produkcyjnych oraz zniszczenia danych lub manipulowania nimi.

  • Używaj exploitów tylko w zakresie niezbędnym do potwierdzenia obecności luki w zabezpieczeniach. Nie używaj exploita do naruszania bezpieczeństwa lub eksfiltracji danych, ustanawiania trwałego dostępu do wiersza poleceń ani do przechodzenia do innych systemów.

Prosimy cię również o:

  • Przestrzeganie zasad, w tym postępowanie zgodnie z niniejszą polityką i wszelkimi innymi odpowiednimi umowami. W przypadku jakichkolwiek rozbieżności między niniejszą polityką a innymi obowiązującymi warunkami, pierwszeństwo mają warunki niniejszej polityki.

  • Korzystanie tylko z własnych kont testowych.

  • Ograniczenie tworzenie kont do dwóch (2) kont na potrzeby wszelkich testów.

  • Korzystanie wyłącznie z oficjalnych kanałów do ujawniania i/lub omawiania z nami informacji o lukach w zabezpieczeniach.

  • Przesyłanie jednej luki w jednym zgłoszeniu, chyba że musisz połączyć luki w łańcuch, aby zademonstrować wpływ.

  • Bezpieczne usunięcie wszystkich danych pobranych podczas badania po przesłaniu raportu.

  • Przeprowadzanie testów tylko na systemach objętych zakresem i szanowanie systemów i działań, które są poza zakresem.

  • Unikanie stosowania inwazyjnych lub zautomatyzowanych narzędzi skanujących o dużej intensywności w celu znalezienia luk w zabezpieczeniach.

  • Nieujawnianie publicznie żadnych luk w zabezpieczeniach bez uprzedniej pisemnej zgody Trading Point.

  • Niewykonywanie żadnych ataków typu „odmowa usługi”.

  • Nieprzeprowadzanie ataków socjotechnicznych i/lub fizycznych na biura, użytkowników lub pracowników Trading Point.

  • Niewykonywanie automatycznych/skryptowanych testów formularzy internetowych, w szczególności formularzy „Skontaktuj się z nami”, które są przeznaczone dla klientów w celu skontaktowania się z naszym zespołem obsługi klienta.

Jeśli ustalisz, że istnieje luka w zabezpieczeniach lub przypadkowo napotkasz jakiekolwiek dane wrażliwe (w tym dane osobowe, informacje finansowe, informacje zastrzeżone lub tajemnice handlowe dowolnej strony), musisz przerwać test, natychmiast nas powiadomić i nie ujawniać tych danych nikomu innemu. Powinieneś/powinnaś również ograniczyć swój dostęp do minimalnych danych wymaganych do skutecznego zademonstrowania weryfikacji koncepcji.

2.3. Zgłaszanie luki w zabezpieczeniach / kanały oficjalne

Prosimy o zgłaszanie problemów z bezpieczeństwem / faktycznych lub potencjalnych luk w zabezpieczeniach na adres vulnerability.disclosure@xmglobal.com, podając wszystkie istotne informacje. Im więcej szczegółów podasz, tym łatwiej będzie nam sklasyfikować i rozwiązać problem.

Aby ułatwić nam klasyfikację i ustalanie priorytetów zgłoszeń, zalecamy, aby twoje raporty:

  • Opisywały lokalizację lub ścieżkę aplikacji, w której wykryto lukę oraz potencjalny wpływ wykorzystania luki.

  • Oferowały szczegółowy opis kroków niezbędnych do odtworzenia luki w zabezpieczeniach (pomocne są skrypty sprawdzające koncepcję lub zrzuty ekranu).

  • Zawierały jak najwięcej szczegółów.

  • Zawierały adres IP, z którego przeprowadzałeś/-aś testy, adres e-mail, agenta użytkownika i nazwy użytkownika używane na platformie transakcyjnej (jeśli istnieją).

  • Jeśli to możliwe, były w języku angielskim.

Jeśli uważasz, że luka jest poważna lub zawiera wrażliwe informacje, możesz wysłać do naszego zespołu zaszyfrowaną wiadomość e-mail PGP, korzystając z naszego klucza PGP.

2.4. Zakres

a) Systemy/usługi objęte zakresem

Domeny Aplikacja na Androida Aplikacja na iOS

https://www.xm.com/pl

https://my.xm.com/pl

Aplikacja XM na Androida (com.xm.webapp)

Aplikacja XM na iOS (id072084799)

b) Systemy/usługi poza zakresem

Wszelkie usługi (takie jak usługi połączone), system lub domena, które nie zostały wyraźnie wymienione w powyższej sekcji „Systemy/usługi objęte zakresem”, są wyłączone z zakresu i nie są autoryzowane do testowania. Ponadto luki wykryte w systemach naszych dostawców podlegają poza zakresem tych zasad i należy je zgłaszać bezpośrednio dostawcy zgodnie z jego polityką ujawniania informacji (jeśli taka istnieje). Jeśli nie masz pewności, czy system jest objęty zakresem, czy nie, skontaktuj się z nami pod adresem vulnerability.disclosure@xmglobal.com.

c) Luki objęte zakresem

  • Atak SQL injection

  • Atak Cross-Site Scripting (XSS)

  • Zdalne wykonanie kodu (RCE)

  • Fałszowanie żądań po stronie serwera (SSRF)

  • Przerwane uwierzytelnianie i zarządzanie sesją

  • Niezabezpieczone bezpośrednie odniesienie do obiektu (IDOR)

  • Ekspozycja wrażliwych danych

  • Atak Directory/Path traversal

  • Atak Local/Remote File Inclusion

  • Atak Cross-Site Request Forgery (CSRF) o wyraźnie dużym wpływie

  • Otwarty atak przekierowania na wrażliwe parametry

  • Przejęcie subdomeny (w przypadku przejęcia subdomeny dodaje się przyjazną wiadomość typu: „Pracujemy nad tym i wkrótce wrócimy.”)

d) Luki poza zakresem

Niektóre luki w zabezpieczeniach są uważane za wykraczające poza zakres Programu ujawniania luk w zabezpieczeniach. Te luki poza zakresem obejmują między innymi:

  • Problemy z konfiguracją poczty, w tym ustawienia SPF, DKIM, DMARC

  • Luki w zabezpieczeniach związane z atakiem typu clickjacking, które nie prowadzą do wrażliwych działań, takich jak modyfikacja konta

  • Self-XSS (tj. gdzie użytkownik musiałby zostać nakłoniony do wklejenia kodu do swojej przeglądarki internetowej)

  • Spoofing, którego wpływ jest minimalny (np. wstrzykiwanie tekstu innego niż HTML)

  • Atak Cross-Site Request Forgery (CSRF), gdzie wpływ jest minimalny (np. CSRF w formularzach logowania lub wylogowania)

  • Otwarty atak przekierowania — chyba że można wykazać dodatkowy wpływ na bezpieczeństwo

  • Ataki CRLF, których skutki są minimalne

  • Wstrzyknięcie nagłówka hosta, gdzie wpływ jest minimalny

  • Brak flagi HttpOnly lub Secure w niewrażliwych plikach cookie

  • Brak najlepszych praktyk w konfiguracji i szyfrowaniu SSL/TLS

  • Brakujące lub źle skonfigurowane nagłówki zabezpieczeń HTTP (np. CSP, HSTS)

  • Formularze, w których brakuje kontrolek Captcha

  • Wyliczanie nazwy użytkownika/adresu e-mail za pośrednictwem komunikatu o błędzie strony logowania

  • Wyliczanie nazwy użytkownika/adresu e-mail za pomocą komunikatu o błędzie Nie pamiętam hasła

  • Problemy wymagające mało prawdopodobnej interakcji użytkownika

  • Złożoność hasła lub jakikolwiek inny problem związany z zasadami konta lub hasła

  • Brak limitu czasu sesji

  • Ataki brute-force

  • Problemy z limitem szybkości dla działań niekrytycznych

  • Luki w zabezpieczeniach WordPress bez dowodu możliwości wykorzystania

  • Ujawnienie wersji oprogramowania podatnego na ataki bez dowodu możliwości wykorzystania

  • Wszelkie działania, które mogą prowadzić do zakłócenia działania naszej usługi (DoS)

  • Brak ochrony Root / Obejście ochrony Root (aplikacje mobilne)

  • Brak przypięcia certyfikatu SSL / Obejście przypięcia certyfikatu SSL (aplikacje mobilne)

  • Brak zaciemniania kodu (aplikacje mobilne)

2.5. Czasy reakcji

Trading Point zobowiązuje się do jak najszybszej i otwartej współpracy z tobą oraz dołoży wszelkich starań, aby spełnić następujące cele w zakresie odpowiedzi dla badaczy uczestniczących w naszym programie:

  • Czas do pierwszej odpowiedzi (licząc od dnia wysłania zgłoszenia) wynosi trzy (3) dni robocze. W ciągu trzech dni roboczych potwierdzimy otrzymanie zgłoszenia.

  • Czas na klasyfikację (od przesłania raportu) wynosi pięć (5) dni roboczych.

W miarę naszych możliwości potwierdzimy istnienie luki w zabezpieczeniach i przedstawimy w jak największym stopniu przejrzyste informacje o krokach, które podejmujemy podczas procesu naprawczego, a także o problemach lub wyzwaniach, które mogą opóźnić rozwiązanie. Postaramy się na bieżąco informować cię o naszych postępach w całym procesie.

3. Nagrody

Cenimy osoby, które poświęcają czas i wysiłek na zgłaszanie luk w zabezpieczeniach zgodnie z tą polityką. Jednak obecnie nie oferujemy żadnych nagród za ujawnienie luk w zabezpieczeniach. To może ulec zmianie w przyszłości.

4. Feedback

Jeśli chcesz przekazać feedback lub sugestie dotyczące tej polityki, skontaktuj się z nami pod adresem vulnerability.disclosure@xmglobal.com.

Dziękujemy za pomoc w zapewnieniu bezpieczeństwa Trading Point i naszym użytkownikom.

5. Odcisk palca klucza PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Pobierz klucz PGP do ujawniania luk w zabezpieczeniach Trading Point

Uwaga: Zaszyfruj swoje wiadomości za pomocą powyższego klucza PGP i dołącz własny klucz publiczny do wiadomości e-mail.

Otwórz kontoHandluj środkami rzeczywistymi lub demo Strefa Inwestora

Korzystamy z plików cookie, aby zapewnić użytkownikom optymalne warunki korzystania z naszej strony internetowej. Dowiedz się więcej lub zmień swoje ustawienia plików cookie.

Ostrzeżenie o ryzyku: Twój kapitał jest zagrożony. Produkty z zastosowaniem dźwigni mogą nie być odpowiednie dla każdego inwestora. Zapoznaj się z Ujawnieniem ryzyka.