Политика уведомлений об уязвимостях

1. Введение

Компания Trading Point Group (здесь и далее «Trading Point») осознает необходимость обращения за помощью к специалистам и энтузиастам по кибербезопасности в целях защиты пользовательских данных и совместной работы по повышению степени защищенности ПО и приложений компании. Целью настоящей политики является создание и предоставление аналитикам по безопасности четкого руководства по проведению анализа уязвимостей и способов передачи найденных уязвимостей нашей компании.

К участию на добровольных началах по выявлению уязвимостей в системах Trading Point приглашаются исследователи и аналитики. В настоящей политике приводятся сведения о системах и видах анализа, и порядок представления отчетов об уязвимостях в нашу компанию.

Направлять отчеты об уязвимостях следует согласно условиям, приведенным на данной странице. Направляя такой отчет в компанию Trading Point, аналитик подтверждает, что прочел настоящие условия и выражает согласие с ними.

2. Условия и положения

2.1 Действия по ограничению аналитиков от ответственности (разрешение на проведения анализа)

Мы ожидаем от вас, аналитиков по кибербезопасности, добросовестного и честного подхода в проведении анализа уязвимостей и составлении отчетов. Отчеты должны быть выполнены в соответствии с положениями настоящей политики, а также:

  • должны соответствовать требованиям всех действующих законов в отношении противодействия компьютерным злоумышленникам. С нашей стороны мы обязуемся не обращаться в правоохранительные органы и не возбуждать правового преследования в отношении вас из-за вашей работы по составлению отчетов об уязвимостях наших систем;

  • должны соответствовать требованиям всех действующих законов, предусматривалющих ответственность за обход защиты компьютерных систем. С нашей стороны мы обязуемся не обращаться в правоохранительные органы с заявлениями в отношении вас за ваши действия по обходу защиты систем;

  • должны быть выполнены в соответствии с законом и должны способствовать повышению общей безопасности Интернета, а также должны быть составлены в соответствии с принципами честности и добросовестности;

Мы ожидаем от вас работы в соответствии со всеми применимыми законами. В случае, если в отношении вас какие-либо третьи лица будут инициировать за вашу деятельность, которую вы ведете в рамках настоящей политики, уголовные или административные преследования, мы предадим огласке наше разрешение на проведение анализа уязвимостей.

Если в какой-либо момент времени у вас появятся сомнения относительно соответствия вашего исследования настоящей политике, просим вас остановить работу и отправить отчет в том виде, в котором он есть на тот момент, через один из наших официальных каналов (приведенных ниже в настоящем документе).

Обращаем ваше внимание на то, что положения данного раздела «Действия по ограничению аналитиков от ответственности» относятся только к юридическим жалобам и требованиям, которые могут быть направлены организацией, предусмотренной в данной политике, и на то, что данная политика не накладывает каких-либо обязательств на третьи лица.

2.2. Руководящие принципы

В контексте настоящей политики под исследованиями понимается деятельность, в ходе которой вы:

  • оповещаете нашу компанию о найденной фактической или возможной (потенциальной) проблеме с безопасностью в кратчайшие сроки;

  • предпринимаете все действия во избежание нарушений конфиденциальности, ухудшения пользовательского опыта и неполадок продуктовых систем, а также уничтожения данных или их злоупотребления;

  • используете эксплоиты только в той мере, в какой это необходимо для подтверждения наличия уязвимости. Вы не пользуетесь эксплоитами в целях компрометации или эксфильтрации данных, установления постоянного доступа через командную строку, или в целях доступа к другим системам.

Вы также должны:

  • играть по правилам, в том числе, соблюдать положения настоящий политики и всех прочих соответствующих соглашений. При наличии несоответствий между настоящей политикой и прочими применимыми законами преобладающее значение имеет настоящая политика;

  • работать только с собственными тестовыми счетами;

  • в ходе проведения любых операций по тестированию создавать не более 2 (двух) счетов;

  • для разглашения и (или) обсуждения информации об уязвимостях пользоваться только официальными каналами;

  • в каждом отчете сообщать только об одной уязвимости, кроме случаев, когда в отчет необходимо включать несколько уязвимостей в целях демонстрации их совместного влияния на уровень безопасности;

  • после направления отчета надежно удалять все данные, полученные в ходе исследования;

  • проводить тестирование только в отношении систем, включенных в объем тестирования, не проникать в системы и не нарушать работу других систем, которые не входят в объем тестирования;

  • не применять высокочастотные проникающие или автоматизированные инструменты сканирования в целях поиска уязвимостей;

  • не размещать в свободном доступе никакие найденные уязвимости без письменного разрешения на это от компании Trading Point;

  • не проводить DoS-атак;

  • не проводить атак типа «Социальная инженерия» и (или) физически не нарушать периметры безопасности офисов компании Trading Point, а также не взаимодействовать с пользователями и сотрудниками компании физически без их согласия;

  • не проводить автоматизированное (скриптовое) тестирование веб-форм, особенно форм для связи, которые предназначены для связи клиентов со службой клиентской поддержки.

После того как вы обнаружите уязвимости или непреднамеренно получите доступ к конфиденциальной информации (в том числе персональным данным, финансовой информации, интеллектуальной собственности, коммерческой тайне каких-либо лиц), вы должны остановить тестирование, немедленно уведомить нас об этом и не сообщать полученные данные кому-либо другому. Вы также должны ограничить свой доступ к данным только той информацией, которая необходима для доказательства уязвимости.

2.3. Предоставление отчетов об уязвимостях. Официальные каналы

Отчеты о проблемах с безопасностью (фактически найденных или потенциально возможных уязвимостях) просим направлять на адрес эл. почты vulnerability.disclosure@xmglobal.com, предоставляя также всю соответствующую информацию. Чем более подробную информацию вы предоставите, тем проще нам будет понять и устранить проблему.

В целях упрощения работы с вашими отчетами мы рекомендуем вам в своих отчетах:

  • приводить описание местоположения или пути в приложении, где была найдена уязвимость, и вероятный эффект эксплуатации уязвимости на безопасность систем компании;

  • приводить подробное описание действий, необходимых для повторного воспроизведения уязвимости (будут весьма полезны скрипты и скриншоты в доказательство уязвимости);

  • приводить как можно больше подробной информации;

  • указывать IP-адрес, с которого вы проводили тестирование, адрес эл. почты, а также имена пользователей на торговой платформе, если вы таковыми пользовались;

  • по возможности, предоставлять информацию на английском языке.

Если вы считаете, что найденная уязвимость весьма серьезна или она может привести к утечке конфиденциальной информации, вы можете направить нам эл. письмо, зашифрованное методом PGP-шифрования, с помощью нашего PGP-ключа.

2.4 Объем тестирования

а) Включенные в объем тестирования системы и сервисы

Домены Приложение для Android Приложение для iOS

https://www.xm.com/ru

https://my.xm.com/ru

Приложение XM для Android (com.xm.webapp)

Приложение XM для iOS (id1072084799)

б) Не включенные в объем тестирования системы и сервисы

Любые сервисы (к примеру, подключенные сервисы), системы или домены, не указанные в разделе «Включенные в объем тестирования системы и сервисы» и не предусмотренные для тестирования. Кроме того, в объем тестирования в контексте настоящей политики не включаются уязвимости, найденные в системах, которые предоставляются нашими поставщиками. Информацию о таких уязвимостях следует направлять непосредственно поставщикам, в соответствии с их политикой о разглашении информации, если таковая имеет место. При наличии сомнений относительно включения какой-либо системы в объем тестирования направляйте нам письма на адрес эл. почты vulnerability.disclosure@xmglobal.com.

в) Включенные в тестирование уязвимости

  • SQL-инъекции;

  • межсайтовый скриптинг (XSS);

  • удаленное выполнение кода (RCE);

  • подделка запросов на стороне сервера (SSRF);

  • сброс авторизации и управление сессиями;

  • небезопасные прямые ссылки на объект (IDOR);

  • доступ к чувствительным данным;

  • возможность просмотра каталогов и файлов;

  • локальное и удаленное внедрение файлов;

  • межсайтовая подделка запросов (CSFR) с очевидно высоким влиянием на безопасность;

  • непроверенная переадресация на чувствительные параметры;

  • захват поддоменов (при захвате поддомена добавляйте на сайты безобидную надпись, к примеру, такую: «Мы работаем над устранением неполадки и вскоре работа сервиса возобновится»).

г) Не включенные в объем тестирования уязвимости

Некоторые виды уязвимостей не включаются в программу по нахождению уязвимостей. В число таких уязвимостей, помимо прочих, входят:

  • проблемы, связанные с настройками почты, в том числе настройками SPF, DKIM и DMARC;

  • уязвимости, эксплуатируемые методами кликджекинга и не ведущие к опасным последствиям, к примеру, внесению изменений в аккаунт (счет);

  • уязвимости вида self-XSS, то есть такие ситуации, при которых пользователя вынуждают вставлять программный код в свой веб-браузер;

  • подмена содержимого, при которой влияние на безопасность минимально (к примеру, внедрение текста, не являющегося кодом HTML);

  • межсайтовая подделка запросов (CSRF), при которой влияние на безопасность системы минимально (к примеру, подделка запросов в формах входа или выхода из системы);

  • непроверенная переадресация, кроме случаев, когда имеет место дополнительное влияние на безопасность системы;

  • CRLF-инъекции, при которых влияние на безопасность системы минимально;

  • инъекция заголовка хоста, при которой влияние на безопасность минимально;

  • отсутствие флагов HttpOnly или Secure в не представляющих угрозу файлах куки;

  • невыполнение рекомендованных действий в настройке конфигураций SSL/TLS и в зашифрованных сообщениях;

  • отсутствующие или неверно прописанные HTTP-заголовки безопасности (к примеру, CSP и HSTS);

  • отсутствие методов CAPTCHA в формах;

  • указание имени пользователя или адреса эл. почты в сообщениях об ошибке на странице входа в аккаунт;

  • указание имени пользователя или адреса эл. почты в сообщениях об ошибке «Забыл пароль»;

  • уязвимости, требующие нестандартных пользовательских действий, совершение которых маловероятно;

  • недостаточная сложность паролей и все прочие проблемы, связанные с политиками выбора паролей и настройками счетов;

  • отсутствие методов завершения сессии по истечении определенного времени;

  • брутфорс-атаки;

  • отсутствие ограничений по частоте запросов в отношении некритичных действий;

  • уязвимости системы управления WordPress без очевидных возможностей эксплуатации;

  • сообщение об уязвимых версиях ПО без доказательств возможности эксплуатации;

  • любые действия, которые могут привести к отказу работы наших сервисов (DoS);

  • отсутствие мер, препятствующих получению рут-доступа (обход защиты от получения рут-доступа) в мобильных устройствах;

  • отсутствие внедрения SSL-сертификата в код мобильного приложения (обход внедрения SSL-сертификата в код мобильного приложения);

  • отсутствие обфускации кода (мобильные приложения);

2.5 Время ответа

Компания Trading Point намерена делать всё возможное, чтобы сотрудничать с вами максимально открыто и максимально быстро отвечать на все ваши запросы. Компания будет стремиться отвечать на ваши запросы и пожелания в течение следующих сроков для ответов, которые специально предусмотрены в отношении исследователей, участвующих в нашей программе:

  • время первого ответа (начиная со дня предоставления отчета) составляет 3 (три) рабочих дня. В течение этих рабочих дней мы направим вам сообщение о том, что ваш отчет принят;

  • время на рассмотрение отчета (начиная со дня его отправления) составляет 5 (пять) рабочих дней.

По мере своих возможностей мы направим вам подтверждение наличия уязвимости и будем стараться быть максимально прозрачными и открытыми относительно действий, которые мы предпринимаем для устранения уязвимости, а также проблем и сложностей, которые могут привести к задержкам в устранении уязвимостей. Мы постараемся сообщать вам о ходе рассмотрения и устранения уязвимостей.

3. Вознаграждение

Мы ценим время и усилия, потраченные на нахождение уязвимостей в наших системах безопасности и составление отчетов по ним. Однако в настоящее время мы не предлагаем никакого вознаграждения за сообщения об уязвимостях. В дальнейшем, возможно, наша позиция по выплате вознаграждений изменится.

4. Обратная связь

Если вы хотите дать обратную связь или свои предложения относительно настоящей политики, направляйте письма на адрес эл. почты vulnerability.disclosure@xmglobal.com.

Благодарим вас за ваш вклад в безопасность и защиту компании Trading Point и наших пользователей.

5. Отпечаток PGP-ключа

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Скачать PGP-ключ «Политики уведомлений об уязвимостях компании Trading Point»

Примечание. Просим вас шифровать свои сообщения указанным выше PGP-ключом и прикладывать к письму собственный открытый ключ.

Мы используем куки-файлы для улучшения работы нашего сайта. Подробнее о куки-файлах и изменении их настроек можно прочесть здесь.

Предупреждение о риске. Вы рискуете потерять свой капитал. Торговля маржинальными продуктами подходит не всем инвесторам. Пожалуйста, ознакомьтесь с нашим Предупреждением о рисках.