XM Politica di divulgazione delle vulnerabilità della sicurezza
1. Introduzione
2. Termini e Condizioni
3. Premi
4. Feedback e suggerimenti
5. Impronta digitale della chiave pubblica PGP
Trading Point Group ("Trading Point") si impegna a proteggere la sicurezza dei propri clienti e dei loro dati, e pertanto attribuisce grande importanza alla creazione di partenariati con la comunità della sicurezza Internet per creare congiuntamente soluzioni e applicazioni che garantiscano la sicurezza. La Politica di divulgazione delle vulnerabilità della sicurezza è progettata per incoraggiare tutti i ricercatori e i tester della sicurezza Internet ad aiutare a trovare e scoprire vulnerabilità o altri problemi di sicurezza e a inviarci feedback chiari in modo tempestivo.
Chiunque scopra vulnerabilità o altri problemi di sicurezza relativi al sistema Trading Point è invitato a fornirci un feedback in qualsiasi momento. Questa politica delinea le definizioni dei sistemi aziendali e dei tipi di analisi di mercato, nonché i passaggi su come inviare un rapporto sulle vulnerabilità della sicurezza.
Tutti i termini e le condizioni di questa politica si applicano a tutti i rapporti sulle vulnerabilità della sicurezza inviati. Se i tester della ricerca sulla sicurezza scelgono di inviare un rapporto sulle vulnerabilità della sicurezza a Trading Point, riconoscono di aver letto in dettaglio e accettano di rispettare tutti i termini e le condizioni pertinenti.
2.1 Safe Harbor/Autorizzazione
Quando effettui ricerche, test e segnali vulnerabilità della sicurezza, purché aderisca al principio di integrità e rispetti i termini e i regolamenti di questa politica, la nostra azienda promette inoltre:
Non prenderemo in considerazione né intraprenderemo azioni legali contro i tuoi test di ricerca purché i tuoi test di ricerca siano autorizzati da eventuali normative anti-hacking applicabili.
Finché i tuoi test di ricerca sono autorizzati da qualsiasi legge antielusione, non avremo alcun reclamo contro di te per aver interrotto il controllo tecnico.
sono legali, eseguiti con integrità e progettati per migliorare la sicurezza generale di Internet.
È necessario rispettare tutte le normative applicabili. Se segui i termini e le condizioni di questa politica e svolgi attività di ricerca e test in buona fede e una terza parte avvia un'azione legale contro di te, annunceremo l'autorizzazione.
In caso di dubbi o non sei sicuro che la ricerca e i test sulle vulnerabilità della sicurezza siano conformi ai termini e ai regolamenti di questa politica, sei invitato a consultare in qualsiasi momento attraverso i canali ufficiali (come descritto di seguito) prima di continuare la ricerca e i test.
Tieni presente che l'approdo sicuro si applica solo alle organizzazioni che accettano di rispettare questa politica e non regola le terze parti indipendenti.
2.2 Linee guida
Come definito nella presente politica, le attività di "ricerca" eseguite sono:
Vi preghiamo di informarci immediatamente di eventuali vulnerabilità di sicurezza esistenti o potenziali scoperte durante le nostre attività di ricerca e test.
Lavorare durante le attività di ricerca e test per evitare di violare la privacy, degradare l'esperienza dell'utente, interferire con i sistemi di produzione e corrompere o manipolare in modo dannoso i dati.
Le vulnerabilità della sicurezza vengono utilizzate durante le attività di ricerca e test solo nella misura necessaria per confermare e dimostrare l'esistenza della vulnerabilità della sicurezza. Non abusare delle vulnerabilità per distruggere o divulgare dati, non riuscire a stabilire un'interfaccia della riga di comando eseguibile in modo sostenibile e/o abusare delle vulnerabilità per condurre a sistemi di terze parti.
Nel frattempo è necessario attenersi alle seguenti linee guida:
Rispettare tutte le norme pertinenti, incluso il rispetto della presente Politica e di qualsiasi altro accordo pertinente. In caso di incoerenza o conflitto tra la presente Politica e qualsiasi altra disposizione applicabile, prevarranno le disposizioni della presente Politica.
Il processo interattivo è limitato al tuo account di prova.
Qualsiasi test di vulnerabilità della sicurezza è limitato alla creazione di un massimo di due (2) account.
Segnalarci e/o divulgarci informazioni sulle vulnerabilità della sicurezza solo attraverso canali ufficiali.
È possibile inviare una sola vulnerabilità per segnalazione, a meno che non si tratti di una serie di vulnerabilità interconnesse che devono dimostrare come si influenzano a vicenda.
Tutti i dati del periodo di prova dello studio verranno cancellati immediatamente e in modo sicuro e confidenziale al momento dell'invio del rapporto.
Limitare i test ai sistemi che rientrano nell'ambito delle normative e rispettare i sistemi e le attività al di fuori dell'ambito delle normative.
Evitare l'uso di scanner altamente intrusivi e/o automatizzati alla ricerca di vulnerabilità della sicurezza.
Nessun problema di vulnerabilità della sicurezza può essere discusso o divulgato pubblicamente senza il previo consenso scritto di Trading Point.
Non eseguire mai attacchi di tipo "Denial of Service" a livello di rete.
Non condurre mai alcun tipo di test di ingegneria sociale e/o attacco alla sicurezza fisica sugli uffici, sugli utenti e/o sui dipendenti di Trading Point.
Non eseguire mai test/script di test automatizzati sui moduli online, in particolare sul modulo Contattaci per contattare il team dell'assistenza clienti.
Se hai confermato una violazione della sicurezza o se scopri inavvertitamente dati sensibili riservati (comprese informazioni di identificazione personale (PII), informazioni finanziarie, informazioni proprietarie o segreti commerciali di qualsiasi parte), devi immediatamente interrompere i test, avvisarci immediatamente e non divulgare questi dati a nessuno. Allo stesso tempo, è necessario anche praticare una "prova di concetto" e utilizzare dati minimi per dimostrare efficacemente l'esistenza di questa vulnerabilità.
2.3 Segnalare vulnerabilità di sicurezza/canali ufficiali
Puoi inviare segnalazioni di vulnerabilità di sicurezza esistenti e/o potenziali che hai scoperto e fornire tutte le informazioni pertinenti inviando un'e-mail a vulnerability.disclosure@xmglobal.com. Quanto più dettagliate saranno le informazioni fornite, tanto più dettagliate ci aiuteranno a valutare e risolvere il problema.
Per aiutarci a rivedere la classificazione e identificare la priorità della segnalazione, ti consigliamo di:
Descrivi la posizione o il problema dell'applicazione in cui è stata rilevata la vulnerabilità e il potenziale impatto di cui si potrebbe abusare.
Fornire i passaggi dettagliati e la descrizione necessari per riprodurre completamente la vulnerabilità (inclusa la fornitura di script o screenshot di prova)
Cerca di fornire quanti più dettagli possibili.
Fornisci l'indirizzo IP, l'e-mail, l'utente/agente utilizzato per testare la vulnerabilità e il nome utente utilizzato nella piattaforma di trading (se presente).
Se possibile, si prega di inviare il rapporto in inglese.
Se ritieni che si tratti di una vulnerabilità critica della sicurezza o che contenga informazioni sensibili riservate, puoi contattare il nostro team inviando un'e-mail crittografata PGP utilizzando la nostra chiave PGP.
2.4 Ambito
a) Sistemi/Servizi nell'ambito
nome di dominio web
https://www.xmforexcn.com
https://xmforexcn.com
Applicazione Android Android
Applicazione XM per Android (com.xm.webapp)
Applicazione iOS
Applicazione XM per iOS (id1072084799)
2) Sistemi/servizi fuori campo
Tutti i servizi (come i servizi correlati), sistemi o nomi di dominio che non sono esplicitamente elencati nei "sistemi/servizi nell'ambito" di cui sopra sono sistemi/servizi al di fuori dell'ambito e la nostra azienda non autorizza alcun test. Inoltre, se scopri eventuali vulnerabilità nei sistemi del nostro fornitore che esulano dall'ambito di questa politica, segnalale direttamente a quel fornitore in conformità con la politica di divulgazione di quel fornitore (se presente). Se non sei sicuro che un sistema rientri nell'ambito, contattaci all'indirizzo vulnerability.disclosure@xmglobal.com.
3) Vulnerabilità della sicurezza nell'ambito
Attacco SQL injection
Attacco di scripting cross-site (attacco XSS)
Vulnerabilità legata all'esecuzione di codice in modalità remota (RCE)
Falsificazione delle richieste lato server (SSRF)
Vulnerabilità di autenticazione e gestione delle sessioni interrotte
Vulnerabilità legata al riferimento diretto a oggetti non sicuri (IDOR)
Esposizione di informazioni riservate e sensibili
Vulnerabilità di attraversamento di directory/percorso
Vulnerabilità relativa all'inclusione di file locali/remoti
Falsificazione di richieste intersito ad alto impatto (CSRF)
Vulnerabilità del reindirizzamento aperto a parametri sensibili riservati
Vulnerabilità di dirottamento di sottodominio (di solito quando si verifica un problema di dirottamento di sottodominio, l'aggressore pubblicherà un messaggio amichevole, come: "Il sito web è in manutenzione e verrà ripristinato alla normalità il prima possibile.")
4) Vulnerabilità della sicurezza al di fuori dell'ambito
Questa politica di divulgazione delle vulnerabilità della sicurezza non copre determinate vulnerabilità della sicurezza. Queste vulnerabilità della sicurezza oltre l'ambito includono ma non sono limitate a:
Problemi di configurazione del sistema di posta elettronica, incluso il meccanismo di verifica della posta elettronica SPF, il metodo di identificazione della posta elettronica DKIM e le impostazioni del sistema di verifica della posta elettronica DMARC
Non causa il clickjacking di operazioni riservate e sensibili, come la modifica degli account
Attacchi cross-site scripting self-XSS (ad esempio, un utente malintenzionato induce con l'inganno un utente a inserire codice in un browser Web personale)
Attacchi di spoofing dei contenuti che producono un impatto minimo (ad esempio, attacchi di inserimento di testo non HTML)
Produrre cross-site request forgery (CSRF) a impatto minimo (ad esempio, CSRF per moduli di accesso o disconnessione)
Reindirizzamenti aperti (a meno che non possano essere dimostrate altre implicazioni sulla sicurezza)
Vulnerabilità nell'iniezione CRLF (Minimal Impact Carriage Return Line Feed).
Vulnerabilità dell'attacco tramite iniezione di intestazione host a impatto minimo
Cookie sensibile non riservato Attributo HttpOnly mancante o vulnerabilità dell'identità di sicurezza
La configurazione del protocollo di sicurezza di crittografia della trasmissione di SSL/TLS non raggiunge l'effetto di configurazione ottimale.
Intestazioni di sicurezza HTTP mancanti o configurate in modo errato. Ad esempio, Content Security Policy (CSP), HTTP Strict Transport Security (HSTS)
Il sistema Captcha non dispone del controllo del codice di verifica
Enumerazione nomi utente/e-mail a causa di un errore nella pagina di accesso
Errore nell'enumerazione di nomi utente/e-mail a causa della password dimenticata
Gli utenti non hanno bisogno di interagire tra loro
Complessità della password o altri problemi relativi a qualsiasi policy relativa ad account e/o password
Problema di timeout della sessione insufficiente
Attacco con password di forza bruta
Problemi di limitazione della velocità per operazioni non critiche
Vulnerabilità di WordPress Mancanza di prove di sfruttabilità
Divulgazioni di vulnerabilità nelle versioni software prive di prove sfruttabili
Qualsiasi attività che possa causare un'interruzione del servizio (DoS)
Mancanza/evitamento del sistema di protezione root (applicazione)
Problema di blocco del certificato SSL mancante/ignorato (applicazione)
Mancanza di offuscamento del codice (applicazione)
2.5 Tempo di risposta
Trading Point aderisce al principio di apertura e trasparenza e si impegna a coordinarsi con i ricercatori di tutti i programmi di divulgazione delle vulnerabilità della sicurezza entro i seguenti tempi di risposta nell'ambito delle sue capacità:
Risponderemo innanzitutto entro tre (3) giorni lavorativi (dal momento dell'invio della segnalazione) con la conferma iniziale della ricezione della segnalazione.
Ispezione e classificazione entro cinque (5) giorni lavorativi (dalla presentazione del rapporto)
Ti informeremo dell'intero progresso dell'incidente nel modo più aperto e trasparente possibile, inclusa la conferma dell'esistenza della vulnerabilità della sicurezza, la spiegazione dei passaggi che abbiamo intrapreso durante il processo di riparazione e se ci sono problemi o circostanze speciali che potrebbero causare ritardi.
Apprezziamo e apprezziamo chiunque dedichi tempo e sforzi per segnalare una vulnerabilità della sicurezza in conformità con questa politica. Al momento non offriamo alcun premio per la divulgazione di vulnerabilità della sicurezza, ma ciò potrebbe essere modificato in futuro.
Se hai feedback o suggerimenti su questa politica di divulgazione delle vulnerabilità della sicurezza, contattaci all'indirizzo vulnerability.disclosure@xmglobal.com.
Trading Point apprezza il tuo aiuto nel mantenere la sicurezza informatica complessiva per l'azienda e tutti gli utenti.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Scarica la chiave PGP per la divulgazione delle vulnerabilità della sicurezza di Trading Point
Promemoria: quando crittografi i messaggi, utilizza sia la chiave PGP sopra sia la tua chiave personale.