XM Kebijakan Pengungkapan Kerentanan Keamanan
1. Pendahuluan
2. Syarat dan Ketentuan
3. Hadiah
4. Masukan dan Saran
5. Sidik jari kunci publik PGP
Trading Point Group ("Trading Point") berkomitmen untuk melindungi keamanan pelanggannya dan data mereka, dan oleh karena itu sangat mementingkan membangun kemitraan dengan komunitas keamanan Internet untuk bersama-sama menciptakan solusi dan aplikasi yang menjamin keamanan. Kebijakan Pengungkapan Kerentanan Keamanan dirancang untuk mendorong semua peneliti dan penguji keamanan Internet untuk membantu menemukan dan menemukan kerentanan atau masalah keamanan lainnya, dan untuk mengirimkan umpan balik yang jelas kepada kami pada waktu yang tepat.
Siapapun yang menemukan kerentanan atau masalah keamanan lainnya yang terkait dengan sistem Trading Point dipersilakan untuk memberikan masukan kepada kami kapan saja. Kebijakan ini menguraikan definisi sistem perusahaan dan jenis analisis pasar, serta langkah-langkah cara menyampaikan laporan kerentanan keamanan.
Semua syarat dan ketentuan kebijakan ini berlaku untuk semua laporan kerentanan keamanan yang dikirimkan. Jika penguji riset keamanan memilih untuk mengirimkan laporan kerentanan keamanan ke Trading Point, mereka menyatakan bahwa mereka telah membaca secara detail dan setuju untuk mematuhi semua syarat dan ketentuan yang relevan.
2.1 Safe Harbor/Otorisasi
Saat Anda meneliti, menguji, dan melaporkan kerentanan keamanan, selama Anda mematuhi prinsip integritas dan mematuhi syarat dan ketentuan kebijakan ini, perusahaan kami juga berjanji:
Kami tidak akan mempertimbangkan atau mengambil tindakan hukum terhadap pengujian penelitian Anda selama pengujian penelitian Anda diizinkan oleh peraturan anti-peretasan yang berlaku.
Selama pengujian penelitian Anda diizinkan oleh undang-undang anti-pengelakan, kami tidak akan menuntut Anda karena mengganggu kontrol teknis.
bersifat legal, dilakukan dengan integritas, dan dirancang untuk meningkatkan keamanan Internet secara keseluruhan.
Anda harus mematuhi semua peraturan yang berlaku. Jika Anda mengikuti syarat dan ketentuan kebijakan ini dan melakukan aktivitas penelitian dan pengujian dengan itikad baik, dan pihak ketiga memulai tindakan hukum terhadap Anda, kami akan mengumumkan otorisasinya.
Jika Anda ragu atau tidak yakin apakah penelitian dan pengujian kerentanan keamanan Anda mematuhi syarat dan peraturan kebijakan ini, Anda dapat berkonsultasi kapan saja melalui saluran resmi (seperti dijelaskan di bawah) sebelum Anda melanjutkan penelitian dan pengujian.
Harap dicatat bahwa safe harbour hanya berlaku untuk organisasi yang setuju untuk mematuhi kebijakan ini dan tidak mengatur pihak ketiga yang independen.
2.2 Pedoman
Sebagaimana didefinisikan dalam kebijakan ini, aktivitas "penelitian" yang Anda lakukan adalah:
Harap segera memberi tahu kami jika ada atau potensi kerentanan keamanan yang ditemukan selama aktivitas penelitian dan pengujian kami.
Bekerja selama aktivitas penelitian dan pengujian untuk menghindari pelanggaran privasi, menurunkan pengalaman pengguna, mengganggu sistem produksi, dan merusak atau memanipulasi data dengan tujuan jahat.
Kerentanan keamanan digunakan selama kegiatan penelitian dan pengujian hanya sejauh diperlukan untuk mengkonfirmasi dan membuktikan adanya kerentanan keamanan. Jangan menyalahgunakan kerentanan untuk menghancurkan atau membocorkan data, gagal membuat antarmuka baris perintah yang dapat dijalankan secara berkelanjutan, dan/atau menyalahgunakan kerentanan untuk mengarahkan sistem pihak ketiga.
Sementara itu, Anda harus mematuhi pedoman berikut:
Mematuhi semua aturan yang relevan, termasuk kepatuhan terhadap Kebijakan ini dan perjanjian terkait lainnya. Apabila terdapat ketidakkonsistenan atau pertentangan antara Kebijakan ini dan ketentuan lain yang berlaku, maka ketentuan dalam Kebijakan ini yang akan berlaku.
Proses interaktif terbatas pada akun pengujian Anda.
Pengujian kerentanan keamanan apa pun dibatasi pada pembuatan maksimal dua (2) akun.
Laporkan dan/atau ungkapkan informasi kerentanan keamanan kepada kami hanya melalui jalur resmi.
Hanya satu kerentanan yang dapat dikirimkan per laporan, kecuali kerentanan tersebut merupakan serangkaian kerentanan yang saling berhubungan dan perlu menunjukkan bagaimana kerentanan tersebut memengaruhi satu sama lain.
Semua data dari masa pengujian studi akan segera dihapus dan dengan cara yang aman dan rahasia setelah penyerahan laporan.
Batasi pengujian pada sistem yang berada dalam cakupan peraturan dan hormati sistem dan aktivitas di luar cakupan peraturan.
Hindari penggunaan pemindai yang sangat mengganggu dan/atau otomatis untuk mencari kerentanan keamanan.
Tidak ada masalah kerentanan keamanan yang boleh didiskusikan atau diungkapkan secara publik tanpa izin tertulis sebelumnya dari Trading Point.
Jangan pernah melakukan serangan "penolakan layanan" tingkat jaringan apa pun.
Jangan pernah melakukan tes rekayasa sosial dan/atau serangan keamanan fisik apa pun terhadap kantor, pengguna, dan/atau karyawan Trading Point.
Jangan pernah melakukan pengujian otomatis/skrip pengujian pada formulir online, terutama formulir “Hubungi Kami” untuk menghubungi tim layanan pelanggan.
Jika Anda telah mengonfirmasi pelanggaran keamanan, atau jika Anda secara tidak sengaja menemukan data sensitif apa pun yang bersifat rahasia (termasuk informasi pengidentifikasi pribadi (PII), informasi keuangan, informasi hak milik, atau rahasia dagang pihak mana pun), Anda harus segera menghentikan pengujian, Segera beri tahu kami dan jangan mengungkapkan data ini kepada siapa pun. Pada saat yang sama, Anda juga harus mempraktikkan "bukti konsep" dan menggunakan data minimal untuk membuktikan keberadaan kerentanan ini secara efektif.
2.3 Laporkan kerentanan keamanan / saluran resmi
Anda dapat mengirimkan laporan tentang kerentanan keamanan yang ada dan/atau potensi yang Anda temukan dan memberikan semua informasi relevan dengan mengirimkan email kevulnerability.disclosure@xmglobal.com. Informasi lebih rinci yang Anda berikan akan membantu kami melakukan triase dan memperbaiki masalah ini.
Untuk membantu kami meninjau klasifikasi dan mengidentifikasi prioritas laporan, sebaiknya laporan Anda:
Jelaskan masalah lokasi atau aplikasi di mana kerentanan ditemukan, dan potensi dampak yang dapat disalahgunakan.
Berikan langkah-langkah dan deskripsi terperinci yang diperlukan untuk sepenuhnya mereproduksi kerentanan (termasuk memberikan skrip atau tangkapan layar bukti konsep)
Cobalah untuk memberikan rincian sebanyak mungkin.
Harap berikan alamat IP, email, pengguna/agen yang Anda gunakan untuk menguji kerentanan, dan nama pengguna yang digunakan dalam platform perdagangan (jika ada).
Jika memungkinkan, harap kirimkan laporan dalam bahasa Inggris.
Jika Anda menentukan ini adalah kerentanan keamanan kritis atau berisi informasi sensitif yang bersifat rahasia, Anda dapat menghubungi tim kami dengan mengirimkan email terenkripsi PGP menggunakan kunci PGP kami.
2.4 Ruang Lingkup
a) Sistem/Layanan Dalam Cakupan
nama domain web
https://www.xmforexcn.com
https://xmforexcn.com
Aplikasi Android Android
Aplikasi Android XM (com.xm.webapp)
Aplikasi iOS
Aplikasi XM iOS (id1072084799)
2) Sistem/layanan di luar cakupannya
Layanan apa pun (seperti layanan terkait), sistem, atau nama domain yang tidak secara eksplisit tercantum dalam "sistem/layanan dalam cakupan" di atas adalah sistem/layanan di luar cakupan, dan perusahaan kami tidak mengizinkan pengujian apa pun. Selain itu, jika Anda menemukan kerentanan apa pun dalam sistem vendor kami yang berada di luar cakupan kebijakan ini, harap laporkan langsung ke vendor tersebut sesuai dengan kebijakan pengungkapan vendor tersebut (jika ada). Jika Anda tidak yakin apakah suatu sistem termasuk dalam cakupannya, silakan hubungi kami di kerentanan.disclosure@xmglobal.com.
3) Kerentanan keamanan dalam ruang lingkup
Serangan injeksi SQL
Serangan skrip lintas situs (serangan XSS)
Kerentanan eksekusi kode jarak jauh (RCE)
Pemalsuan Permintaan Sisi Server (SSRF)
Otentikasi Rusak dan Kerentanan Manajemen Sesi
Kerentanan Referensi Objek Langsung Tidak Aman (IDOR)
Pengungkapan informasi rahasia dan sensitif
Kerentanan penjelajahan direktori/jalur
Kerentanan penyertaan file lokal/jarak jauh
Pemalsuan Permintaan Lintas Situs (CSRF) yang berdampak tinggi
Buka Pengalihan ke Kerentanan Parameter Sensitif Rahasia
Kerentanan pembajakan subdomain (biasanya ketika masalah pembajakan subdomain terjadi, penyerang akan mengirimkan pesan ramah, seperti: "Situs web sedang dalam pemeliharaan dan akan dikembalikan ke normal sesegera mungkin.")
4) Kerentanan keamanan di luar cakupan
Kebijakan pengungkapan kerentanan keamanan ini tidak mencakup kerentanan keamanan tertentu. Kerentanan keamanan di luar cakupan ini mencakup namun tidak terbatas pada:
Masalah konfigurasi sistem email, termasuk mekanisme verifikasi email SPF, metode identifikasi email DKIM, dan pengaturan sistem verifikasi email DMARC
Tidak menyebabkan pembajakan klik pada operasi rahasia dan sensitif, seperti memodifikasi akun
Serangan skrip lintas situs Self-XSS (misalnya, penyerang menipu pengguna agar memasukkan kode ke browser web pribadi)
Serangan spoofing konten yang menghasilkan dampak minimal (misalnya, serangan injeksi teks non-HTML)
Menghasilkan pemalsuan permintaan lintas situs (CSRF) dengan dampak minimal (misalnya, CSRF untuk formulir login atau logout)
Pengalihan terbuka (kecuali implikasi keamanan lainnya dapat dibuktikan)
Kerentanan Injeksi Jalur Pengembalian Kereta Berdampak Minimal (CRLF).
Kerentanan Serangan Injeksi Header Host Dampak Minimal
Cookie Sensitif Non-Rahasia Tidak Ada Atribut HttpOnly atau Kerentanan Identitas Keamanan
Konfigurasi protokol keamanan enkripsi transmisi SSL/TLS tidak mencapai efek konfigurasi optimal.
Header keamanan HTTP tidak ada atau salah dikonfigurasi. Misalnya, Kebijakan Keamanan Konten (CSP), Keamanan Transportasi Ketat HTTP (HSTS)
Sistem Captcha tidak memiliki kontrol kode verifikasi
Menghitung nama pengguna/email karena kesalahan pada halaman login
Kesalahan menghitung nama pengguna/email karena lupa kata sandi
Pengguna tidak perlu berinteraksi satu sama lain
Kompleksitas kata sandi, atau masalah lain yang terkait dengan akun dan/atau kebijakan kata sandi apa pun
Masalah batas waktu sesi tidak mencukupi
Serangan kata sandi brute force
Masalah pembatasan laju operasi yang tidak kritis
Kerentanan WordPress Kurangnya Bukti Eksploitasi
Pengungkapan kerentanan dalam versi perangkat lunak tidak memiliki bukti yang dapat dieksploitasi
Aktivitas apa pun yang dapat menyebabkan gangguan layanan (DoS)
Kurangnya/bypass sistem proteksi root (aplikasi)
Masalah Penyematan Sertifikat SSL Hilang/Terlewatkan (Aplikasi)
Kurangnya kebingungan kode (aplikasi)
2.5 Waktu respons
Trading Point menganut prinsip keterbukaan dan transparansi dan berkomitmen untuk berkoordinasi dengan peneliti dari semua program pengungkapan kerentanan keamanan dalam waktu respons berikut sesuai kemampuannya:
Kami akan merespons terlebih dahulu dalam waktu tiga (3) hari kerja (sejak penyampaian laporan) dengan konfirmasi awal bahwa laporan Anda telah diterima.
Inspeksi dan klasifikasi dalam waktu lima (5) hari kerja (sejak penyerahan laporan)
Seluruh perkembangan insiden akan kami informasikan kepada Anda secara terbuka dan setransparan mungkin, termasuk mengonfirmasi kepada Anda adanya kerentanan keamanan, menjelaskan langkah-langkah yang telah kami ambil selama proses perbaikan, dan apakah ada masalah atau keadaan khusus yang dapat menyebabkan kerusakan. penundaan.
Kami menghargai dan menghargai siapa pun yang meluangkan waktu dan upaya untuk melaporkan kerentanan keamanan dalam mematuhi kebijakan ini. Saat ini kami tidak menawarkan imbalan apa pun atas pengungkapan kerentanan keamanan, namun hal ini dapat disesuaikan di masa mendatang.
Jika Anda memiliki masukan atau saran tentang kebijakan pengungkapan kerentanan keamanan ini, silakan hubungi kami di kerentanan.disclosure@xmglobal.com.
Trading Point menghargai bantuan Anda dalam menjaga keamanan siber secara keseluruhan untuk perusahaan dan semua pengguna.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Unduh Kunci PGP Pengungkapan Kerentanan Keamanan Trading Point
Pengingat: Saat mengenkripsi pesan, gunakan kunci PGP di atas dan kunci pribadi Anda.