XM Politique de divulgation des vulnérabilités de sécurité
1. Présentation
2. Conditions générales
3. Récompenses
4. Commentaires et suggestions
5. Empreinte digitale de clé publique PGP
Trading Point Group (« Trading Point ») s'engage à protéger la sécurité de ses clients et de leurs données, et attache donc une grande importance à l'établissement de partenariats avec la communauté de la sécurité Internet pour créer conjointement des solutions et des applications garantissant la sécurité. La politique de divulgation des vulnérabilités de sécurité est conçue pour encourager tous les chercheurs et testeurs en sécurité Internet à aider à trouver et à découvrir les vulnérabilités ou autres problèmes de sécurité, et à nous soumettre des commentaires clairs en temps opportun.
Toute personne découvrant des vulnérabilités ou d'autres problèmes de sécurité liés au système Trading Point est invitée à nous faire part de ses commentaires à tout moment. Cette politique décrit les définitions des systèmes de l'entreprise et les types d'analyses de marché, ainsi que les étapes à suivre pour soumettre un rapport sur les vulnérabilités de sécurité.
Tous les termes et conditions de cette politique s'appliquent à tous les rapports de vulnérabilité de sécurité soumis. Si les testeurs de recherche en sécurité choisissent de soumettre un rapport de vulnérabilité de sécurité à Trading Point, ils reconnaissent avoir lu en détail et acceptent de respecter tous les termes et conditions pertinents.
2.1 Safe Harbor/Autorisation
Lorsque vous recherchez, testez et signalez des vulnérabilités de sécurité, tant que vous adhérez au principe d'intégrité et respectez les termes et réglementations de cette politique, notre société promet également :
Nous n’envisagerons ni n’engagerons de poursuites judiciaires contre vos tests de recherche tant que vos tests de recherche sont autorisés par toute réglementation anti-piratage applicable.
Tant que vos tests de recherche sont autorisés par une loi anti-contournement, nous n'aurons aucune réclamation contre vous pour perturbation du contrôle technique.
sont légaux, exécutés avec intégrité et conçus pour améliorer la sécurité globale d’Internet.
Vous devez vous conformer à toutes les réglementations applicables. Si vous suivez les termes et conditions de cette politique et effectuez des activités de recherche et de test de bonne foi, et qu'un tiers engage une action en justice contre vous, nous annoncerons l'autorisation.
Si vous avez des doutes ou n'êtes pas sûr que vos recherches et tests de vulnérabilités de sécurité soient conformes aux termes et réglementations de cette politique, vous êtes invités à consulter à tout moment via les canaux officiels (tels que décrits ci-dessous) avant de poursuivre vos recherches et tests.
Veuillez noter que la sphère de sécurité s'applique uniquement aux organisations qui acceptent de respecter cette politique et ne régit pas les tiers indépendants.
2.2 Lignes directrices
Comme défini dans cette politique, les activités de « recherche » que vous effectuez sont :
Veuillez nous informer immédiatement de toute vulnérabilité de sécurité existante ou potentielle découverte au cours de nos activités de recherche et de test.
Travailler pendant les activités de recherche et de test pour éviter de violer la confidentialité, de dégrader l'expérience utilisateur, d'interférer avec les systèmes de production et de corrompre ou de manipuler les données de manière malveillante.
Les vulnérabilités de sécurité sont utilisées au cours des activités de recherche et de test uniquement dans la mesure nécessaire pour confirmer et prouver l'existence de la vulnérabilité de sécurité. N'abusez pas des vulnérabilités pour détruire ou divulguer des données, ne parvenez pas à établir une interface de ligne de commande exécutable de manière durable et/ou n'abusez pas des vulnérabilités pour conduire à des systèmes tiers.
En attendant, vous devez respecter les directives suivantes :
Respecter toutes les règles pertinentes, y compris le respect de la présente politique et de tout autre accord pertinent. En cas d'incohérence ou de conflit entre la présente Politique et toute autre disposition applicable, les dispositions de la présente Politique prévaudront.
Le processus interactif est limité à votre compte test.
Tout test de vulnérabilité de sécurité est limité à la création d'un maximum de deux (2) comptes.
Signalez-nous et/ou divulguez des informations sur les vulnérabilités de sécurité uniquement via les canaux officiels.
Une seule vulnérabilité peut être soumise par rapport, à moins qu'il ne s'agisse d'une série de vulnérabilités interconnectées qui doivent démontrer comment elles s'influencent mutuellement.
Toutes les données de la période de test de l'étude seront supprimées immédiatement et de manière sécurisée et confidentielle dès la soumission du rapport.
Limiter les tests aux systèmes entrant dans le champ d’application de la réglementation et respecter les systèmes et activités en dehors du champ d’application de la réglementation.
Évitez d'utiliser des scanners hautement intrusifs et/ou automatisés recherchant des failles de sécurité.
Aucun problème de vulnérabilité de sécurité ne peut être discuté ou divulgué publiquement sans le consentement écrit préalable de Trading Point.
N’effectuez jamais d’attaques de « déni de service » au niveau du réseau.
N’effectuez jamais aucun type de test d’ingénierie sociale et/ou d’attaque de sécurité physique contre les bureaux, les utilisateurs et/ou les employés de Trading Point.
N'effectuez jamais de tests/scripts de test automatisés sur des formulaires en ligne, en particulier le formulaire Contactez-nous pour contacter l'équipe du service client.
Si vous avez confirmé une faille de sécurité ou si vous découvrez par inadvertance des données sensibles et confidentielles (y compris des informations personnelles identifiables (PII), des informations financières, des informations exclusives ou des secrets commerciaux de toute partie), vous devez immédiatement arrêter les tests, nous en informer immédiatement et ne divulguez ces données à personne. En parallèle, vous devez également pratiquer une « preuve de concept » et utiliser un minimum de données pour prouver efficacement l’existence de cette vulnérabilité.
2.3 Signaler les failles de sécurité / canaux officiels
Vous pouvez soumettre des rapports sur les vulnérabilités de sécurité existantes et/ou potentielles que vous avez découvertes et fournir toutes les informations pertinentes en envoyant un e-mail à vulnérabilité.disclosure@xmglobal.com. Plus vous fournissez d’informations détaillées, plus elles nous aideront à trier et à résoudre le problème.
Pour nous aider à examiner la classification et à identifier la priorité du rapport, nous recommandons que votre rapport :
Décrivez l'emplacement ou le problème d'application où la vulnérabilité a été trouvée, ainsi que l'impact potentiel qui pourrait être abusé.
Fournissez les étapes détaillées et la description requise pour reproduire entièrement la vulnérabilité (y compris en fournissant des scripts de preuve de concept ou des captures d'écran)
Essayez de fournir autant de détails que possible.
Veuillez fournir l'adresse IP, l'e-mail, l'utilisateur/agent que vous avez utilisé pour tester la vulnérabilité et le nom d'utilisateur utilisé sur la plateforme de trading (le cas échéant).
Si possible, veuillez soumettre le rapport en anglais.
Si vous déterminez qu'il s'agit d'une vulnérabilité de sécurité critique ou qu'il contient des informations sensibles et confidentielles, vous pouvez contacter notre équipe en envoyant un e-mail crypté PGP à l'aide de notre clé PGP.
2.4 Portée
a) Systèmes/services visés
nom de domaine internet
https://www.xmforexcn.com
https://xmforexcn.com
Application Android
Application Android XM (com.xm.webapp)
Application iOS
Application iOS XM (id1072084799)
2) Systèmes/services hors champ d’application
Tous les services (tels que les services associés), systèmes ou noms de domaine qui ne sont pas explicitement répertoriés dans les « systèmes/services inclus dans le champ d'application » ci-dessus sont des systèmes/services hors du champ d'application, et notre société n'autorise aucun test. De plus, si vous découvrez des vulnérabilités dans les systèmes de notre fournisseur qui sortent du champ d'application de cette politique, veuillez les signaler directement à ce fournisseur conformément à la politique de divulgation de ce fournisseur (le cas échéant). Si vous ne savez pas si un système est concerné, veuillez nous contacter à l'adresse vulnérabilité.disclosure@xmglobal.com.
3) Failles de sécurité dans le champ d'application
Attaque par injection SQL
Attaque de script intersite (attaque XSS)
Vulnérabilité d'exécution de code à distance (RCE)
Contrefaçon de requête côté serveur (SSRF)
Vulnérabilités d'authentification et de gestion de session brisées
Vulnérabilité de référence d'objet direct non sécurisée (IDOR)
Exposition d’informations confidentielles et sensibles
Vulnérabilité de traversée de répertoire/chemin
Vulnérabilité d'inclusion de fichiers locaux/distants
Falsification de requêtes intersites à fort impact (CSRF)
Vulnérabilité de redirection ouverte vers les paramètres sensibles confidentiels
Vulnérabilité de piratage de sous-domaine (généralement lorsqu'un problème de piratage de sous-domaine se produit, l'attaquant publiera un message convivial, tel que : "Le site Web est en maintenance et sera restauré à la normale dès que possible.")
4) Failles de sécurité hors du champ d’application
Cette politique de divulgation des vulnérabilités de sécurité ne couvre pas certaines vulnérabilités de sécurité. Ces vulnérabilités de sécurité au-delà de la portée incluent, sans s'y limiter :
Problèmes de configuration du système de messagerie, notamment le mécanisme de vérification des e-mails SPF, la méthode d'identification des e-mails DKIM et les paramètres du système de vérification des e-mails DMARC.
Ne provoque pas de détournement de clics sur des opérations confidentielles et sensibles, telles que la modification de comptes
Attaques de script intersite Self-XSS (par exemple, un attaquant incite un utilisateur à injecter du code dans un navigateur Web personnel)
Attaques d'usurpation de contenu produisant un impact minimal (par exemple, attaques par injection de texte non HTML)
Produire une falsification de requêtes intersites (CSRF) à impact minimal (par exemple, CSRF pour les formulaires de connexion ou de déconnexion)
Redirections ouvertes (sauf si d'autres implications en matière de sécurité peuvent être prouvées)
Vulnérabilité à l’injection d’alimentation de retour de chariot (CRLF) à impact minimal
Vulnérabilité d’attaque par injection d’en-tête d’hôte à impact minimal
Cookie sensible non confidentiel manquant d'attribut HttpOnly ou de vulnérabilité d'identité de sécurité
La configuration du protocole de sécurité de cryptage de transmission SSL/TLS n'obtient pas l'effet de configuration optimal.
En-têtes de sécurité HTTP manquants ou mal configurés. Par exemple, stratégie de sécurité du contenu (CSP), HTTP Strict Transport Security (HSTS)
Le système Captcha manque de contrôle du code de vérification
Énumération des noms d'utilisateur/e-mails en raison d'une erreur sur la page de connexion
Erreur lors de l'énumération des noms d'utilisateur/e-mails en raison d'un mot de passe oublié
Les utilisateurs n'ont pas besoin d'interagir les uns avec les autres
Complexité du mot de passe ou autres problèmes liés à toute politique de compte et/ou de mot de passe
Problème de délai d'expiration de session insuffisant
Attaque de mot de passe par force brute
Problèmes de limitation de débit pour les opérations non critiques
Vulnérabilité WordPress Manque de preuves d’exploitabilité
Divulgations de vulnérabilités dans les versions logicielles manquant de preuves exploitables
Toute activité pouvant provoquer une interruption de service (DoS)
Absence/contournement du système de protection racine (application)
Problème d'épinglage de certificat SSL manquant/contourné (application)
Absence d'obscurcissement du code (application)
2.5 Temps de réponse
Trading Point adhère au principe d'ouverture et de transparence et s'engage à coordonner avec les chercheurs tous les programmes de divulgation des vulnérabilités de sécurité dans les délais de réponse suivants, dans la limite de ses capacités :
Nous vous répondrons d'abord dans les trois (3) jours ouvrables (à compter de la soumission du rapport) avec une confirmation initiale que votre rapport a été reçu.
Inspection et classification dans les cinq (5) jours ouvrables (à compter de la remise du rapport)
Nous vous informerons de l'évolution de l'incident de la manière la plus ouverte et transparente possible, notamment en vous confirmant l'existence de la faille de sécurité, en vous expliquant les mesures que nous avons prises pendant le processus de réparation et en vous indiquant s'il existe des problèmes ou des circonstances particulières pouvant entraîner des retards.
Nous apprécions et apprécions toute personne qui prend le temps et les efforts pour signaler une vulnérabilité de sécurité conformément à cette politique. Nous n'offrons actuellement aucune récompense pour la divulgation de failles de sécurité, mais cela pourrait être ajusté à l'avenir.
Si vous avez des commentaires ou des suggestions concernant cette politique de divulgation des vulnérabilités de sécurité, veuillez nous contacter à l'adresse vulnérabilité.disclosure@xmglobal.com.
Trading Point apprécie votre aide pour maintenir la cybersécurité globale de l'entreprise et de tous les utilisateurs.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Télécharger la clé PGP de divulgation des vulnérabilités de sécurité de Trading Point
Rappel : lors du chiffrement des messages, utilisez à la fois la clé PGP ci-dessus et votre clé personnelle.