Chính sách thông báo lỗ hổng
1. Giới thiệu
Trading Point Group (sau đây gọi là “Trading Point”) nhận thấy nhu cầu cần phải tiếp cận cộng đồng an ninh mạng để bảo vệ dữ liệu của khách hàng và hợp tác cùng nhau để tạo ra các giải pháp và ứng dụng an toàn hơn. Chính sách này nhằm cung cấp cho các nhà nghiên cứu bảo mật các nguyên tắc rõ ràng để tiến hành các hoạt động khám phá lỗ hổng và hướng dẫn cách gửi các lỗ hổng đã phát hiện cho chúng tôi.
Các nhà nghiên cứu được hoan nghênh tự nguyện báo cáo các lỗ hổng mà họ có thể tìm thấy liên quan đến các hệ thống của Trading Point. Chính sách này mô tả những hệ thống và hình thức khám phá lỗ hổng được đề cập trong chính sách này và làm thế nào để gửi các báo cáo về lỗ hổng cho chúng tôi.
Việc gửi báo cáo lỗ hổng phải tuân theo các điều khoản và điều kiện được quy định trên trang này và bằng cách gửi báo cáo lỗ hổng cho Trading Point, các nhà nghiên cứu thừa nhận rằng họ đã đọc và đồng ý với các điều khoản và điều kiện này.
2. Điều khoản và Điều kiện
2.1. Bảo trợ / Cho phép
Khi bạn thực hiện nghiên cứu lỗ hổng một cách thiện chí và tuân thủ chính sách này, chúng tôi coi nghiên cứu lỗ hổng của bạn:
Được sự cho phép của chúng tôi liên quan đến bất kỳ luật chống hack hiện hành nào, chúng tôi sẽ không khuyến nghị hoặc theo đuổi hành động pháp lý chống lại bạn vì nghiên cứu của bạn.
Được sự cho phép của chúng tôi liên quan đến bất kỳ luật chống gian lận nào và chúng tôi sẽ không đưa ra khiếu nại chống lại bạn vì đã vượt qua các biện pháp kiểm soát công nghệ.
Hợp pháp, hữu ích cho bảo mật nói chung của mạng Internet và được thực hiện với thiện chí.
Bạn phải tuân thủ tất cả các luật hiện hành. Nếu hành động pháp lý do bên thứ ba khởi xướng chống lại bạn vì các hoạt động mà bạn đã thực hiện một cách thiện chí theo chính sách này, chúng tôi sẽ thông báo cho họ việc cho phép này.
Nếu bất cứ lúc nào bạn lo lắng hoặc không chắc liệu nghiên cứu bảo mật của mình có phù hợp với chính sách này hay không, vui lòng gửi báo cáo qua một trong các kênh chính thức của chúng tôi (như được xác định ở đây bên dưới) trước khi tiếp tục.
Lưu ý rằng sự bảo trợ chỉ áp dụng cho các khiếu nại pháp lý dưới sự kiểm soát của tổ chức tham gia chính sách này và chính sách này không ràng buộc các bên thứ ba độc lập.
2.2. Hướng dẫn
Theo chính sách này, “nghiên cứu” có nghĩa là các hoạt động trong đó bạn:
Thông báo cho chúng tôi càng sớm càng tốt sau khi bạn phát hiện ra vấn đề bảo mật thực sự hoặc tiềm ẩn.
Cố gắng hết sức để tránh vi phạm quyền riêng tư, làm suy giảm trải nghiệm người dùng, làm gián đoạn hệ thống sản xuất và phá hủy hoặc thao túng dữ liệu.
Chỉ sử dụng khai thác trong phạm vi cần thiết để xác nhận sự hiện diện của lỗ hổng. Không sử dụng khai thác để làm tổn hại đến dữ liệu, để thiết lập quyền truy cập dòng lệnh liên tục hoặc sử dụng khai thác để chuyển dữ liệu sang các hệ thống khác.
Bạn cũng được yêu cầu:
Tuân thủ các quy định, bao gồm tuân theo chính sách này và bất kỳ thỏa thuận có liên quan nào khác. Nếu có bất kỳ sự không nhất quán nào giữa chính sách này và bất kỳ điều khoản hiện hành nào khác, thì các điều khoản của chính sách này sẽ được ưu tiên áp dụng.
Chỉ tương tác với tài khoản thử nghiệm của riêng bạn.
Giới hạn việc tạo tài khoản ở tổng số hai (2) tài khoản cho bất kỳ thử nghiệm nào.
Chỉ sử dụng các kênh chính thức để thông báo và / hoặc thảo luận về thông tin lỗ hổng với chúng tôi.
Gửi mỗi báo cáo cho một lỗ hổng, trừ khi bạn cần xâu chuỗi các lỗ hổng để chứng minh tác động.
Xóa an toàn tất cả dữ liệu đã truy xuất trong quá trình nghiên cứu sau khi báo cáo được gửi.
Chỉ thực hiện kiểm thử trên các hệ thống trong phạm vi và tôn trọng các hệ thống cũng như hoạt động nằm ngoài phạm vi.
Tránh sử dụng các công cụ quét tự động hoặc xâm lấn cường độ cao để tìm lỗ hổng.
Không thông báo công khai bất kỳ lỗ hổng nào mà không có sự đồng ý trước bằng văn bản của Trading Point.
Không thực hiện bất kỳ cuộc tấn công "từ chối dịch vụ" nào.
Không thực hiện các cuộc tấn công phi kỹ thuật và / hoặc bảo mật vật lý đối với các văn phòng, người dùng hoặc nhân viên của Trading Point.
Không thực hiện kiểm tra tự động / theo kịch bản đối với biểu mẫu web, đặc biệt là biểu mẫu "Liên hệ với chúng tôi" được thiết kế để khách hàng liên hệ với Bộ phận trải nghiệm khách hàng của chúng tôi.
Sau khi bạn xác định rằng có một lỗ hổng tồn tại hoặc bạn vô tình gặp phải bất kỳ dữ liệu nhạy cảm nào (bao gồm thông tin nhận dạng cá nhân (PII), thông tin tài chính, thông tin độc quyền hoặc bí mật thương mại của bất kỳ bên nào), bạn phải dừng thử nghiệm của mình, thông báo cho chúng tôi ngay lập tức và không thông báo dữ liệu này cho bất kỳ ai khác. Bạn cũng nên giới hạn truy cập của mình vào dữ liệu một cách tối thiểu đủ để chứng minh vấn đề.
2.3. Báo cáo lỗ hổng / các kênh chính thức
Vui lòng báo cáo các vấn đề bảo mật / phát hiện lỗ hổng tiềm ẩn hoặc thực tế qua vulnerability.disclosure@xmglobal.com, cung cấp tất cả thông tin liên quan. Càng cung cấp nhiều chi tiết, chúng tôi càng dễ dàng phân loại và khắc phục vấn đề.
Để giúp chúng tôi phân loại và ưu tiên các nội dung gửi, chúng tôi khuyên các báo cáo của bạn nên:
Mô tả vị trí hoặc đường dẫn ứng dụng nơi lỗ hổng được phát hiện và tác động tiềm ẩn của việc khai thác.
Cung cấp mô tả chi tiết về các bước cần thiết để tái tạo lỗ hổng (các tập lệnh chứng minh vấn đề hoặc ảnh chụp màn hình đều hữu ích).
Bao gồm càng nhiều chi tiết càng tốt.
Bao gồm địa chỉ IP mà bạn đã dùng để kiểm tra, địa chỉ email, tác nhân người dùng và (các) tên người dùng được sử dụng trong nền tảng giao dịch (nếu có).
Nếu có thể, hãy báo cáo bằng tiếng Anh.
Nếu cho rằng lỗ hổng bảo mật nghiêm trọng hoặc chứa thông tin nhạy cảm, bạn có thể gửi email được mã hóa PGP (khóa vân tay công khai) cho chúng tôi bằng khóa PGP của chúng tôi.
Ứng dụng Android
Ứng dụng XM Android (com.xm.webapp)
Ứng dụng iOS
Ứng dụng XM iOS (id1072084799)
b) Các hệ thống / dịch vụ ngoài phạm vi
Bất kỳ dịch vụ (như các dịch vụ kết nối), hệ thống, hoặc tên miền không được liệt kê cụ thể trong phần "Hệ thống/Dịch vụ trong phạm vi" ở trên, đều bị loại khỏi phạm vi và không được phép kiểm tra. Ngoài ra, các lỗi bảo mật được tìm thấy trong hệ thống của các nhà cung cấp của chúng tôi nằm ngoài phạm vi của chính sách này và nên được báo cáo trực tiếp cho nhà cung cấp theo chính sách tiết lộ của họ (nếu có). Nếu bạn không chắc liệu một hệ thống có nằm trong phạm vi hay không, hãy liên hệ với chúng tôi tại vulnerability.disclosure@xmglobal.com.
c) Các lỗ hổng trong phạm vi
Chèn mã SQL
Tập lệnh chéo trang (XSS)
Thực thi mã từ xa (RCE)
Giả mạo yêu cầu phía máy chủ (SSRF)
Kiểm tra bảo mật và quản lý phiên
Tham chiếu đối tượng trực tiếp không an toàn (IDOR)
Tiếp xúc dữ liệu nhạy cảm
Duyệt thư mục / đường dẫn
Đọc file lỗi hệ thống cục bộ / từ xa
Giả mạo yêu cầu trên nhiều trang web (CSRF) với tác động cao
Mở chuyển hướng trên các tham số nhạy cảm
Chiếm giữ tên miền phụ (khi chiếm giữ tên miền phụ, hãy thêm một thông báo thân thiện như: "Chúng tôi đang làm việc với tên miền này và chúng tôi sẽ sớm quay lại.")
d) Các lỗ hổng ngoài phạm vi
Một số lỗ hổng được coi là nằm ngoài phạm vi của Chương trình thông báo lỗ hổng. Những lỗ hổng nằm ngoài phạm vi đó bao gồm, nhưng không giới hạn ở:
Các vấn đề về cấu hình thư bao gồm cài đặt SPF, DKIM, DMARC
Các lỗ hổng lừa người dùng nhấn chuột không dẫn đến các hành động nhạy cảm, chẳng hạn như sửa đổi tài khoản
Self-XSS (người dùng sẽ bị lừa dán mã vào trình duyệt web của họ)
Giả mạo nội dung với tác động gây ra là tối thiểu (ví dụ: chèn văn bản không phải HTML)
Giả mạo yêu cầu trên nhiều trang web (CSRF) trong đó tác động dẫn đến là tối thiểu (ví dụ: CSRF trong biểu mẫu đăng nhập hoặc đăng xuất)
Chuyển hướng mở - trừ khi thực hiện được bảo mật bổ sung
Các cuộc tấn công CRLF (ký tự điều khiển) mà tác động gây ra là tối thiểu
Chèn tiêu đề máy chủ trong đó tác động gây ra là tối thiểu
Thiếu cờ HttpOnly hoặc An toàn trên các cookie không nhạy cảm
Không tối ưu trong cấu hình SSL/TLS và mật mã
Tiêu đề bảo mật HTTP bị thiếu hoặc cấu hình sai (ví dụ: CSP, HSTS)
Biểu mẫu thiếu điều khiển Captcha
Liệt kê tên người dùng / email qua thông báo lỗi trang đăng nhập
Liệt kê tên người dùng / email qua thông báo lỗi quên mật khẩu
Các sự cố không yêu cầu tương tác của người dùng
Độ phức tạp của mật khẩu hoặc bất kỳ vấn đề nào khác liên quan đến chính sách tài khoản hoặc mật khẩu
Thiếu thời gian chờ phiên
Các cuộc tấn công xoay vòng ký tự
Các vấn đề về hạn chế gửi nhận yêu cầu đến hệ thống cho các hành động không quan trọng
Lỗ hổng WordPress không có bằng chứng về khả năng khai thác
Thông báo phiên bản phần mềm dễ bị tổn thương mà không có bằng chứng về khả năng khai thác
Bất kỳ hoạt động nào có thể dẫn đến gián đoạn dịch vụ của chúng tôi (DoS)
Thiếu bảo vệ Root / Bỏ qua bảo vệ Root (ứng dụng di động)
Thiếu ghim chứng chỉ SSL / Bỏ qua ghim chứng chỉ SSL (ứng dụng di động)
Không làm rối code (ứng dụng di động)
2.5. Thời gian đáp ứng
Trading Point cam kết phối hợp với bạn một cách cởi mở và nhanh nhất có thể và sẽ nỗ lực hết sức để đáp ứng các mục tiêu phản hồi sau cho các nhà nghiên cứu tham gia chương trình của chúng tôi:
Thời gian trả lời lần đầu (kể từ ngày nộp báo cáo) là ba (3) ngày làm việc. Trong vòng ba ngày làm việc, chúng tôi sẽ xác nhận rằng đã nhận được báo cáo của bạn.
Thời gian để phân loại (từ khi gửi báo cáo) là năm (5) ngày làm việc.
Trong khả năng tốt nhất của mình, chúng tôi sẽ xác nhận sự tồn tại của lỗ hổng với bạn và minh bạch nhất có thể về những bước chúng tôi đang thực hiện trong quá trình khắc phục, cũng như các vấn đề hoặc thách thức có thể làm chậm quá trình giải quyết. Chúng tôi sẽ cố gắng thông báo cho bạn về tiến trình của chúng tôi trong suốt quá trình.
3. Phần thưởng
Chúng tôi đánh giá cao những người dành thời gian và công sức để báo cáo các lỗ hổng bảo mật theo chính sách này. Tuy nhiên, hiện tại chúng tôi không cung cấp bất kỳ phần thưởng nào cho việc thông báo lỗ hổng bảo mật. Điều này có thể thay đổi trong tương lai.
4. Phản hồi
Nếu bạn muốn cung cấp phản hồi hoặc đề xuất về chính sách này, vui lòng liên hệ với chúng tôi tại vulnerability.disclosure@xmglobal.com.
Cảm ơn bạn đã giúp giữ an toàn cho Trading Point và người dùng của chúng tôi.
5. Dấu vân tay khóa PGP
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Lưu ý: Vui lòng mã hóa tin nhắn của bạn bằng khóa PGP ở trên và bao gồm khóa công khai của chính bạn trong email.