Компания Trading Point Group (здесь и далее «Trading Point») осознает необходимость обращения за помощью к специалистам и энтузиастам по кибербезопасности в целях защиты пользовательских данных и совместной работы по повышению степени защищенности ПО и приложений компании. Целью настоящей политики является создание и предоставление аналитикам по безопасности четкого руководства по проведению анализа уязвимостей и способов передачи найденных уязвимостей нашей компании.
К участию на добровольных началах по выявлению уязвимостей в системах Trading Point приглашаются исследователи и аналитики. В настоящей политике приводятся сведения о системах и видах анализа, и порядок представления отчетов об уязвимостях в нашу компанию.
Направлять отчеты об уязвимостях следует согласно условиям, приведенным на данной странице. Направляя такой отчет в компанию Trading Point, аналитик подтверждает, что прочел настоящие условия и выражает согласие с ними.
Мы ожидаем от вас, аналитиков по кибербезопасности, добросовестного и честного подхода в проведении анализа уязвимостей и составлении отчетов. Отчеты должны быть выполнены в соответствии с положениями настоящей политики, а также:
должны соответствовать требованиям всех действующих законов в отношении противодействия компьютерным злоумышленникам. С нашей стороны мы обязуемся не обращаться в правоохранительные органы и не возбуждать правового преследования в отношении вас из-за вашей работы по составлению отчетов об уязвимостях наших систем;
должны соответствовать требованиям всех действующих законов, предусматривалющих ответственность за обход защиты компьютерных систем. С нашей стороны мы обязуемся не обращаться в правоохранительные органы с заявлениями в отношении вас за ваши действия по обходу защиты систем;
должны быть выполнены в соответствии с законом и должны способствовать повышению общей безопасности Интернета, а также должны быть составлены в соответствии с принципами честности и добросовестности;
Мы ожидаем от вас работы в соответствии со всеми применимыми законами. В случае, если в отношении вас какие-либо третьи лица будут инициировать за вашу деятельность, которую вы ведете в рамках настоящей политики, уголовные или административные преследования, мы предадим огласке наше разрешение на проведение анализа уязвимостей.
Если в какой-либо момент времени у вас появятся сомнения относительно соответствия вашего исследования настоящей политике, просим вас остановить работу и отправить отчет в том виде, в котором он есть на тот момент, через один из наших официальных каналов (приведенных ниже в настоящем документе).
Обращаем ваше внимание на то, что положения данного раздела «Действия по ограничению аналитиков от ответственности» относятся только к юридическим жалобам и требованиям, которые могут быть направлены организацией, предусмотренной в данной политике, и на то, что данная политика не накладывает каких-либо обязательств на третьи лица.
В контексте настоящей политики под исследованиями понимается деятельность, в ходе которой вы:
оповещаете нашу компанию о найденной фактической или возможной (потенциальной) проблеме с безопасностью в кратчайшие сроки;
предпринимаете все действия во избежание нарушений конфиденциальности, ухудшения пользовательского опыта и неполадок продуктовых систем, а также уничтожения данных или их злоупотребления;
используете эксплоиты только в той мере, в какой это необходимо для подтверждения наличия уязвимости. Вы не пользуетесь эксплоитами в целях компрометации или эксфильтрации данных, установления постоянного доступа через командную строку, или в целях доступа к другим системам.
Вы также должны:
играть по правилам, в том числе, соблюдать положения настоящий политики и всех прочих соответствующих соглашений. При наличии несоответствий между настоящей политикой и прочими применимыми законами преобладающее значение имеет настоящая политика;
работать только с собственными тестовыми счетами;
в ходе проведения любых операций по тестированию создавать не более 2 (двух) счетов;
для разглашения и (или) обсуждения информации об уязвимостях пользоваться только официальными каналами;
в каждом отчете сообщать только об одной уязвимости, кроме случаев, когда в отчет необходимо включать несколько уязвимостей в целях демонстрации их совместного влияния на уровень безопасности;
после направления отчета надежно удалять все данные, полученные в ходе исследования;
проводить тестирование только в отношении систем, включенных в объем тестирования, не проникать в системы и не нарушать работу других систем, которые не входят в объем тестирования;
не применять высокочастотные проникающие или автоматизированные инструменты сканирования в целях поиска уязвимостей;
не размещать в свободном доступе никакие найденные уязвимости без письменного разрешения на это от компании Trading Point;
не проводить DoS-атак;
не проводить атак типа «Социальная инженерия» и (или) физически не нарушать периметры безопасности офисов компании Trading Point, а также не взаимодействовать с пользователями и сотрудниками компании физически без их согласия;
не проводить автоматизированное (скриптовое) тестирование веб-форм, особенно форм для связи, которые предназначены для связи клиентов со службой клиентской поддержки.
После того как вы обнаружите уязвимости или непреднамеренно получите доступ к конфиденциальной информации (в том числе персональным данным, финансовой информации, интеллектуальной собственности, коммерческой тайне каких-либо лиц), вы должны остановить тестирование, немедленно уведомить нас об этом и не сообщать полученные данные кому-либо другому. Вы также должны ограничить свой доступ к данным только той информацией, которая необходима для доказательства уязвимости.
Отчеты о проблемах с безопасностью (фактически найденных или потенциально возможных уязвимостях) просим направлять на адрес эл. почты vulnerability.disclosure@xmglobal.com, предоставляя также всю соответствующую информацию. Чем более подробную информацию вы предоставите, тем проще нам будет понять и устранить проблему.
В целях упрощения работы с вашими отчетами мы рекомендуем вам в своих отчетах:
приводить описание местоположения или пути в приложении, где была найдена уязвимость, и вероятный эффект эксплуатации уязвимости на безопасность систем компании;
приводить подробное описание действий, необходимых для повторного воспроизведения уязвимости (будут весьма полезны скрипты и скриншоты в доказательство уязвимости);
приводить как можно больше подробной информации;
указывать IP-адрес, с которого вы проводили тестирование, адрес эл. почты, а также имена пользователей на торговой платформе, если вы таковыми пользовались;
по возможности, предоставлять информацию на английском языке.
Если вы считаете, что найденная уязвимость весьма серьезна или она может привести к утечке конфиденциальной информации, вы можете направить нам эл. письмо, зашифрованное методом PGP-шифрования, с помощью нашего PGP-ключа.
Домены | Приложение для Android | Приложение для iOS |
---|---|---|
Приложение XM для Android (com.xm.webapp) |
Приложение XM для iOS (id1072084799) |
Любые сервисы (к примеру, подключенные сервисы), системы или домены, не указанные в разделе «Включенные в объем тестирования системы и сервисы» и не предусмотренные для тестирования. Кроме того, в объем тестирования в контексте настоящей политики не включаются уязвимости, найденные в системах, которые предоставляются нашими поставщиками. Информацию о таких уязвимостях следует направлять непосредственно поставщикам, в соответствии с их политикой о разглашении информации, если таковая имеет место. При наличии сомнений относительно включения какой-либо системы в объем тестирования направляйте нам письма на адрес эл. почты vulnerability.disclosure@xmglobal.com.
SQL-инъекции;
межсайтовый скриптинг (XSS);
удаленное выполнение кода (RCE);
подделка запросов на стороне сервера (SSRF);
сброс авторизации и управление сессиями;
небезопасные прямые ссылки на объект (IDOR);
доступ к чувствительным данным;
возможность просмотра каталогов и файлов;
локальное и удаленное внедрение файлов;
межсайтовая подделка запросов (CSFR) с очевидно высоким влиянием на безопасность;
непроверенная переадресация на чувствительные параметры;
захват поддоменов (при захвате поддомена добавляйте на сайты безобидную надпись, к примеру, такую: «Мы работаем над устранением неполадки и вскоре работа сервиса возобновится»).
Некоторые виды уязвимостей не включаются в программу по нахождению уязвимостей. В число таких уязвимостей, помимо прочих, входят:
проблемы, связанные с настройками почты, в том числе настройками SPF, DKIM и DMARC;
уязвимости, эксплуатируемые методами кликджекинга и не ведущие к опасным последствиям, к примеру, внесению изменений в аккаунт (счет);
уязвимости вида self-XSS, то есть такие ситуации, при которых пользователя вынуждают вставлять программный код в свой веб-браузер;
подмена содержимого, при которой влияние на безопасность минимально (к примеру, внедрение текста, не являющегося кодом HTML);
межсайтовая подделка запросов (CSRF), при которой влияние на безопасность системы минимально (к примеру, подделка запросов в формах входа или выхода из системы);
непроверенная переадресация, кроме случаев, когда имеет место дополнительное влияние на безопасность системы;
CRLF-инъекции, при которых влияние на безопасность системы минимально;
инъекция заголовка хоста, при которой влияние на безопасность минимально;
отсутствие флагов HttpOnly или Secure в не представляющих угрозу файлах куки;
невыполнение рекомендованных действий в настройке конфигураций SSL/TLS и в зашифрованных сообщениях;
отсутствующие или неверно прописанные HTTP-заголовки безопасности (к примеру, CSP и HSTS);
отсутствие методов CAPTCHA в формах;
указание имени пользователя или адреса эл. почты в сообщениях об ошибке на странице входа в аккаунт;
указание имени пользователя или адреса эл. почты в сообщениях об ошибке «Забыл пароль»;
уязвимости, требующие нестандартных пользовательских действий, совершение которых маловероятно;
недостаточная сложность паролей и все прочие проблемы, связанные с политиками выбора паролей и настройками счетов;
отсутствие методов завершения сессии по истечении определенного времени;
брутфорс-атаки;
отсутствие ограничений по частоте запросов в отношении некритичных действий;
уязвимости системы управления WordPress без очевидных возможностей эксплуатации;
сообщение об уязвимых версиях ПО без доказательств возможности эксплуатации;
любые действия, которые могут привести к отказу работы наших сервисов (DoS);
отсутствие мер, препятствующих получению рут-доступа (обход защиты от получения рут-доступа) в мобильных устройствах;
отсутствие внедрения SSL-сертификата в код мобильного приложения (обход внедрения SSL-сертификата в код мобильного приложения);
отсутствие обфускации кода (мобильные приложения);
Компания Trading Point намерена делать всё возможное, чтобы сотрудничать с вами максимально открыто и максимально быстро отвечать на все ваши запросы. Компания будет стремиться отвечать на ваши запросы и пожелания в течение следующих сроков для ответов, которые специально предусмотрены в отношении исследователей, участвующих в нашей программе:
время первого ответа (начиная со дня предоставления отчета) составляет 3 (три) рабочих дня. В течение этих рабочих дней мы направим вам сообщение о том, что ваш отчет принят;
время на рассмотрение отчета (начиная со дня его отправления) составляет 5 (пять) рабочих дней.
По мере своих возможностей мы направим вам подтверждение наличия уязвимости и будем стараться быть максимально прозрачными и открытыми относительно действий, которые мы предпринимаем для устранения уязвимости, а также проблем и сложностей, которые могут привести к задержкам в устранении уязвимостей. Мы постараемся сообщать вам о ходе рассмотрения и устранения уязвимостей.
Мы ценим время и усилия, потраченные на нахождение уязвимостей в наших системах безопасности и составление отчетов по ним. Однако в настоящее время мы не предлагаем никакого вознаграждения за сообщения об уязвимостях. В дальнейшем, возможно, наша позиция по выплате вознаграждений изменится.
Если вы хотите дать обратную связь или свои предложения относительно настоящей политики, направляйте письма на адрес эл. почты vulnerability.disclosure@xmglobal.com.
Благодарим вас за ваш вклад в безопасность и защиту компании Trading Point и наших пользователей.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Скачать PGP-ключ «Политики уведомлений об уязвимостях компании Trading Point»
Примечание. Просим вас шифровать свои сообщения указанным выше PGP-ключом и прикладывать к письму собственный открытый ключ.
Предупреждение о риске. Вы рискуете потерять свой капитал. Торговля маржинальными продуктами подходит не всем инвесторам. Пожалуйста, ознакомьтесь с нашим Предупреждением о рисках.