1. Εισαγωγή
Η Trading Point Group («εφεξής «Trading Point») αναγνωρίζει την ανάγκη προσέγγισης της κοινότητας της κυβερνοασφάλειας για την προστασία των δεδομένων των πελατών της και την ανάγκη συνεργασίας με την εν λόγω κοινότητα για τη δημιουργία ασφαλέστερων λύσεων και εφαρμογών. Σκοπός της παρούσας πολιτικής είναι να δώσει στους ερευνητές ασφάλειας σαφείς οδηγίες για τη διεξαγωγή δραστηριοτήτων ανακάλυψης ευπαθειών ασφάλειας και να εκφράσει τις προτιμήσεις μας σχετικά με τον τρόπο υποβολής των εντοπιζόμενων ευπαθειών.
Οι ερευνητές είναι ευπρόσδεκτοι να αναφέρουν οικειοθελώς ευπάθειες ασφάλειας τις οποίες μπορούν να εντοπίσουν κατά τη σύνδεσή τους στα συστήματα της Trading Point. Αυτή η πολιτική περιγράφει ποια συστήματα και ποιοι τύποι έρευνας καλύπτονται από αυτήν την πολιτική και πώς γίνεται η υποβολή αναφορών ευπάθειας ασφάλειας.
Η υποβολή αναφορών ευπάθειας υπόκειται στους όρους και τις προϋποθέσεις που ορίζονται σε αυτήν τη σελίδα και με την υποβολή μιας αναφοράς ευπάθειας στην Trading Point, οι ερευνητές αναγνωρίζουν ότι έχουν διαβάσει και συμφωνήσει με αυτούς τους όρους και τις προϋποθέσεις.
2. Όροι και προϋποθέσεις
2.1. Πλαίσιο ασφαλούς λιμένα / Εξουσιοδότηση
Κατά τη διεξαγωγή έρευνας ευπάθειας, επιδεικνύοντας καλή τη πίστει προσπάθεια συμμόρφωσης με αυτήν την πολιτική, θεωρούμε ότι η έρευνά σας είναι:
εξουσιοδοτημένη όσον αφορά οποιουσδήποτε ισχύοντες νόμους κατά της πειρατείας και δεν θα προτείνουμε ούτε θα προβούμε σε νομικές ενέργειες εναντίον σας για την έρευνά σας·
εξουσιοδοτημένη όσον αφορά οποιουσδήποτε σχετικούς νόμους κατά της καταστρατήγησης και δεν θα ασκήσουμε αξίωση εναντίον σας για καταστρατήγηση τεχνολογικών ελέγχων·
νόμιμη, χρήσιμη για τη συνολική ασφάλεια του διαδικτύου και διεξαγόμενη καλή τη πίστει.
Αναμένουμε από εσάς να συμμορφώνεστε με όλους τους ισχύοντες νόμους. Εάν κινηθεί νομική ενέργεια από κάποιον τρίτο εναντίον σας για δραστηριότητες που έχετε πραγματοποιήσει καλή τη πίστει σύμφωνα με την παρούσα πολιτική, θα γνωστοποιήσουμε αυτήν την εξουσιοδότηση.
Εάν οποιαδήποτε στιγμή προβληματίζεστε ή δεν είστε βέβαιοι κατά πόσο η έρευνά σας για την ασφάλεια είναι σύμφωνη με αυτήν την πολιτική, υποβάλετε μια αναφορά μέσω ενός από τα επίσημα κανάλια μας (όπως καθορίζονται παρακάτω) προτού προχωρήσετε περαιτέρω.
Λάβετε υπόψη ότι το πλαίσιο του ασφαλούς λιμένα ισχύει μόνο για νομικές αξιώσεις υπό τον έλεγχο του οργανισμού που συμμετέχει σε αυτήν την πολιτική και ότι η πολιτική δεν δεσμεύει ανεξάρτητους τρίτους.
2.2. Οδηγίες
Σύμφωνα με αυτήν την πολιτική, ως «έρευνα» νοούνται δραστηριότητες κατά τις οποίες:
Μας ενημερώνετε το συντομότερο δυνατό αφού ανακαλύψετε ένα πραγματικό ή πιθανό ζήτημα ασφαλείας.
Καταβάλλετε κάθε δυνατή προσπάθεια για να αποφύγετε παραβιάσεις απορρήτου, υποβάθμιση της εμπειρίας χρήστη, διαταραχή των συστημάτων παραγωγής και καταστροφή ή χειραγώγηση δεδομένων.
Χρησιμοποιείτε προγράμματα εκμετάλλευσης ευπάθειας μόνο στον βαθμό που είναι απαραίτητο για να επιβεβαιώσετε την παρουσία μιας ευπάθειας και δεν χρησιμοποιείτε πρόγραμμα εκμετάλλευσης ευπάθειας για να παραβιάσετε ή να υποκλέψετε δεδομένα, να δημιουργήσετε μόνιμη πρόσβαση στη γραμμή εντολών ή για να στραφείτε σε άλλα συστήματα.
Επίσης, σας ζητείται:
να ενεργείτε σύμφωνα με τους κανόνες, συμπεριλαμβανομένης της τήρησης αυτής της πολιτικής και τυχόν άλλων σχετικών συμφωνιών. Εάν υπάρχει οποιαδήποτε ασυνέπεια μεταξύ αυτής της πολιτικής και οποιωνδήποτε άλλων ισχυόντων όρων, οι όροι αυτής της πολιτικής θα υπερισχύουν.
να αλληλεπιδράτε μόνο με τους δοκιμαστικούς λογαριασμούς σας·
να περιορίσετε τη δημιουργία λογαριασμού σε δύο (2) συνολικά λογαριασμούς για οποιονδήποτε έλεγχο·
να χρησιμοποιείτε μόνο τα επίσημα κανάλια για να αποκαλύψετε ή/και να συζητήσετε μαζί μας πληροφορίες ευπάθειας·
να υποβάλλετε μία ευπάθεια ανά αναφορά, εκτός και αν χρειάζεται να παρουσιάσετε αλυσιδωτά τις ευπάθειες για να δείξετε τον αντίκτυπό τους·
να διαγράψετε με ασφάλεια όλα τα δεδομένα που ανακτήθηκαν κατά τη διάρκεια της έρευνας αφού υποβληθεί η αναφορά·
να πραγματοποιείτε ελέγχους μόνο σε συστήματα εντός του πεδίου εφαρμογής και να σέβεστε τα συστήματα και τις δραστηριότητες που είναι εκτός πεδίου εφαρμογής·
να αποφεύγετε τη χρήση έντονα επεμβατικών ή αυτοματοποιημένων εργαλείων σάρωσης για την εύρεση ευπαθειών·
να μην αποκαλύπτετε δημόσια οποιαδήποτε ευπάθεια χωρίς την προηγούμενη γραπτή συγκατάθεση της Trading Point·
να μην εκτελέσετε επίθεση «άρνησης υπηρεσιών»·
να μην εκτελέσετε επιθέσεις κοινωνικής μηχανικής ή/και φυσικής ασφάλειας κατά των γραφείων, των χρηστών ή των υπαλλήλων της Trading Point·
να μην εκτελείτε αυτοματοποιημένες/σεναριακές δοκιμές διαδικτυακών φορμών, ειδικά των φορμών «Επικοινωνήστε μαζί μας» που έχουν σχεδιαστεί για να επικοινωνούν οι πελάτες με την ομάδα εμπειρίας πελατών.
Αφού διαπιστώσετε την ύπαρξη ευπάθειας ή βρεθείτε ακούσια μπροστά σε ευαίσθητα δεδομένα (συμπεριλαμβανομένων πληροφοριών που επιτρέπουν την αναγνώριση προσώπων, οικονομικών πληροφοριών, πληροφοριών αποκλειστικής εκμετάλλευσης ή εμπορικών μυστικών οποιουδήποτε μέρους), πρέπει να διακόψετε τον έλεγχό σας, να μας ενημερώσετε αμέσως και να μην αποκαλύψετε αυτά τα δεδομένα σε κανέναν άλλο. Θα πρέπει επίσης να περιορίσετε την πρόσβασή σας στα ελάχιστα δεδομένα που απαιτούνται για την αποτελεσματική απόδειξη της ιδέας.
2.3. Αναφορά ευπάθειας / επίσημα κανάλια
Παρακαλούμε να αναφέρετε τα ζητήματα ασφαλείας / τις πραγματικές ή πιθανές ευπάθειες μέσω του vulnerability.disclosure@xmglobal.com, παρέχοντας όλες τις σχετικές πληροφορίες. Όσο περισσότερες λεπτομέρειες παρέχετε, τόσο πιο εύκολο θα είναι για εμάς να κάνουμε μια πρώτη εκτίμηση ώστε να καθορίσουμε την προτεραιότητα αντιμετώπισης του προβλήματος και να το διορθώσουμε.
Προκειμένου να μας βοηθήσετε να κάνουμε μια πρώτη εκτίμηση και να καθορίσουμε την προτεραιότητα αντιμετώπισης των προβλημάτων που μας υποβάλλετε, σας συνιστούμε οι αναφορές σας να πληρούν τα παρακάτω:
να περιγράφουν τη θέση ή τη διαδρομή εφαρμογής όπου ανακαλύφθηκε η ευπάθεια και τον πιθανό αντίκτυπο της εκμετάλλευσης αυτής της ευπάθειας·
να περιέχουν μια λεπτομερή περιγραφή των βημάτων που απαιτούνται για την αναπαραγωγή της ευπάθειας (σενάρια απόδειξης της ιδέας ή στιγμιότυπα οθόνης θα ήταν χρήσιμα)·
να περιλαμβάνουν όσο το δυνατόν περισσότερες πληροφορίες·
να συμπεριλαμβάνουν τη διεύθυνση IP από την οποία πραγματοποιήσατε τον έλεγχο, τη διεύθυνση email, τον παράγοντα χρήστη και το όνομα χρήστη που χρησιμοποιήθηκε στην πλατφόρμα συναλλαγών (εάν υπάρχουν)·
να είναι στα αγγλικά, εφόσον αυτό είναι δυνατό·
Εάν πιστεύετε ότι η ευπάθεια είναι σοβαρή ή περιέχει ευαίσθητες πληροφορίες, μπορείτε να στείλετε ένα email με κρυπτογράφηση PGP στην ομάδα μας, χρησιμοποιώντας το κλειδί μας PGP.
2.4. Πεδίο εφαρμογής
α) Συστήματα/υπηρεσίες εντός πεδίου εφαρμογής:
| Πεδία | Εφαρμογή για Android | Εφαρμογή για iOS |
|---|---|---|
XM εφαρμογή για Android (com.xm.webapp) |
XM εφαρμογή για iOS (id1072084799) |
β) Συστήματα/υπηρεσίες εκτός πεδίου εφαρμογής:
Οποιαδήποτε υπηρεσία (όπως συνδεδεμένες υπηρεσίες) και οποιοδήποτε σύστημα ή πεδίο δεν αναφέρεται ρητά στην ενότητα «Συστήματα/υπηρεσίες εντός πεδίου εφαρμογής» παραπάνω, εξαιρείται από το πεδίο εφαρμογής και δεν παρέχεται σε αυτήν την περίπτωση εξουσιοδότηση για διενέργεια ελέγχου. Επιπλέον, ευπάθειες που εντοπίζονται σε συστήματα που προέρχονται από τους προμηθευτές μας δεν εμπίπτουν στο πεδίο εφαρμογής αυτής της πολιτικής και θα πρέπει να αναφέρονται απευθείας στον προμηθευτή, σύμφωνα με την πολιτική του για την αποκάλυψη ευπαθειών (εάν υπάρχει). Εάν δεν είστε βέβαιοι για το κατά πόσο ένα σύστημα εμπίπτει στο πεδίο εφαρμογής ή όχι, επικοινωνήστε μαζί μας στο vulnerability.disclosure@xmglobal.com.
γ) Ευπάθειες εντός πεδίου εφαρμογής:
έγχυση SQL
διατοποθεσιακή δημιουργία δέσμης ενεργειών (XSS)
απομακρυσμένη εκτέλεση κώδικα (RCE)
πλαστογράφηση αιτήματος από την πλευρά του διακομιστή (SSRF)
προβλήματα ελέγχου ταυτότητας και διαχείρισης εφαρμογών
μη ασφαλής άμεση αναφορά αντικειμένου (IDOR)
έκθεση ευαίσθητων δεδομένων
διέλευση καταλόγου
εκτέλεση απομακρυσμένου/τοπικού αρχείου
πλαστογράφηση αιτήματος μεταξύ ιστοτόπων (CSRF) με αποδεδειγμένο υψηλό αντίκτυπο
ανοιχτή ανακατεύθυνση σε ευαίσθητες παραμέτρους
ανάληψη ελέγχου υποτομέα (σε αυτές τις περιπτώσεις εμφανίζεται ένα φιλικό μήνυμα όπως: «Εργαζόμαστε πάνω σε αυτό και θα επιστρέψουμε σύντομα»).
δ) Ευπάθειες εκτός πεδίου εφαρμογής
Ορισμένες ευπάθειες θεωρούνται εκτός πεδίου εφαρμογής του προγράμματος αποκάλυψης ευπαθειών. Αυτές οι ευπάθειες εκτός πεδίου περιλαμβάνουν, αλλά δεν περιορίζονται σε:
ζητήματα διαμόρφωσης αλληλογραφίας όπως SPF, DKIM, ρυθμίσεις DMARC
ευπάθειες clickjacking (όταν ένας εισβολέας εξαπατά έναν χρήστη να κάνει κλικ σε ένα αόρατο στοιχείο) οι οποίες δεν οδηγούν σε ευαίσθητες ενέργειες, όπως τροποποίηση λογαριασμού
Self-XSS (δηλαδή, όταν ένας χρήστης εξαπατάται να επικολλήσει κώδικα στο πρόγραμμα περιήγησής του)
πλαστογράφηση περιεχομένου όπου ο αντίκτυπος που προκύπτει είναι ασήμαντος (π.χ. έγχυση κειμένου που δεν είναι σε κώδικα HTML)
πλαστογράφηση αιτήματος μεταξύ ιστοτόπων (CSRF) όπου ο αντίκτυπος που προκύπτει είναι ασήμαντος (π.χ. CSRF σε φόρμες σύνδεσης ή αποσύνδεσης)
ανοιχτή ανακατεύθυνση —εκτός αν μπορεί να καταδειχθεί επιπλέον αντίκτυπος ασφάλειας
επιθέσεις CRLF όπου ο αντίκτυπος που προκύπτει είναι ασήμαντος
έγχυση επικεφαλίδας HTTP όπου ο αντίκτυπος που προκύπτει είναι ασήμαντος
έλλειψη επισημάνσεων HttpOnly ή Secure σε μη ευαίσθητα cookies
έλλειψη βέλτιστων πρακτικών σε διαμόρφωση και κρυπτογραφήσεις SSL/TLS
έλλειψη ή εσφαλμένη διαμόρφωση κεφαλίδων ασφαλείας HTTP (π.χ. CSP, HSTS)
παράκαμψη CAPTCHA
απαρίθμηση ονόματος χρήστη / email μέσω μηνύματος σφάλματος στη σελίδα σύνδεσης
απαρίθμηση ονόματος χρήστη / email μέσω μηνύματος σφάλματος «ξεχάσατε τον κωδικό σας»
ζητήματα που απαιτούν απίθανη αλληλεπίδραση με τον χρήστη
πολυπλοκότητα κωδικού πρόσβασης ή οποιοδήποτε άλλο ζήτημα που σχετίζεται με πολιτικές λογαριασμού ή κωδικού πρόσβασης
έλλειψη χρονικού ορίου συνεδρίας
επιθέσεις ωμής βίας
ζητήματα ανώτατου ορίου ποσοστού για ενέργειες μη κρίσιμης σημασίας
ευπάθειες WordPress χωρίς απόδειξη εκμεταλλευσιμότητας
αποκάλυψη ευάλωτης έκδοσης λογισμικού χωρίς απόδειξη εκμεταλλευσιμότητας
οποιαδήποτε δραστηριότητα που θα μπορούσε να οδηγήσει σε διακοπή της υπηρεσίας μας (DoS)
έλλειψη προστασίας root / παράκαμψη προστασίας root (εφαρμογές για κινητά)
έλλειψη καρφιτσώματος πιστοποιητικού SSL / παράκαμψη καρφιτσώματος πιστοποιητικού SSL (εφαρμογές για κινητά)
έλλειψη συσκότισης κώδικα (εφαρμογές για κινητά).
2.5. Χρόνοι απόκρισης
Η Trading Point δεσμεύεται να συντονιστεί μαζί σας όσο το δυνατόν πιο ανοιχτά και γρηγορότερα και θα καταβάλει κάθε δυνατή προσπάθεια για την επίτευξη των ακόλουθων στόχων ανταπόκρισης προς τους ερευνητές που συμμετέχουν στο πρόγραμμά μας:
Ο χρόνος μέχρι την πρώτη ανταπόκριση (από την ημέρα υποβολής της αναφοράς) είναι τρεις (3) εργάσιμες ημέρες. Εντός τριών εργάσιμων ημερών, θα αναγνωρίσουμε ότι έχουμε λάβει την αναφορά σας.
Ο χρόνος μέχρι τον καθορισμό της προτεραιότητας του προβλήματος (από την υποβολή της αναφοράς) είναι πέντε (5) εργάσιμες ημέρες.
Στο μέτρο των δυνατοτήτων μας, θα σας επιβεβαιώσουμε την ύπαρξη της ευπάθειας και θα είμαστε όσο το δυνατόν πιο διαφανείς σχετικά με τα βήματα που λαμβάνουμε κατά τη διαδικασία αποκατάστασης, καθώς και με ζητήματα ή προκλήσεις που μπορεί να καθυστερήσουν την επίλυση. Θα προσπαθήσουμε να σας κρατάμε ενήμερους για την πρόοδό μας σε όλη τη διαδικασία.
3. Ανταμοιβές
Εκτιμούμε όσους αφιερώνουν χρόνο και προσπάθεια για να αναφέρουν ευπάθειες ασφαλείας σύμφωνα με αυτήν την πολιτική. Ωστόσο, προς το παρόν δεν προσφέρουμε ανταμοιβή για αποκαλύψεις ευπάθειας. Αυτό υπόκειται σε αλλαγές στο μέλλον.
4. Υποβολή σχολίων
Αν θέλετε να υποβάλετε σχόλια ή προτάσεις σχετικά με αυτήν την πολιτική, επικοινωνήστε μαζί μας στο vulnerability.disclosure@xmglobal.com.
Σας ευχαριστούμε που μας βοηθάτε να διατηρήσουμε την Trading Point και τους χρήστες μας ασφαλείς.
5. Αποτύπωμα κλειδιού PGP
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Λήψη κλειδιού PGP της αποκάλυψης ευπαθειών της Trading Point
Σημειώστε: Παρακαλούμε κρυπτογραφήστε τα μηνύματά σας με το παραπάνω κλειδί PGP και συμπεριλάβετε το δημόσιο κλειδί σας στο email.
