Meie pühendumus turvalisusele

MoneyLead suhtub turvalisusse tõsiselt. Me hindame turvauurijate tööd, kes aitavad meil oma kasutajaid kaitsta ja süsteeme täiustada. See leht annab ülevaate meie turvanõrkuste avalikustamise poliitikast ja sellest, kuidas turvaprobleemidest vastutustundlikult teatada.

Ulatus

Ulatus:

  • moneylead.gg ja kõik alamdomeenid
  • Kõik avalikud veebirakendused
  • Kõik API lõpp-punktid
  • Autentimis- ja autoriseerimismehhanismid
  • Andmete salvestamise ja edastamise turvalisus

Väljaspool ulatust:

  • Sotsiaalse manipuleerimise rünnakud
  • Füüsilise turvalisuse testid
  • Teenusetõkestamise (DoS/DDoS) rünnakud
  • Kolmandate osapoolte teenused (GitHub, CDN-i pakkujad jne)
  • Rämpspost või sotsiaalmeedia rünnakud

Kuidas teatada

Turvanõrkuse teatamisel palun lisage:

  1. Kirjeldus - Haavatavuse selge selgitus
  2. Paljundamise sammud - Probleemi taasesitamise üksikasjalikud sammud
  3. mõju - Võimalik turvamõju ja mõjutatud kasutajad
  4. Kontseptsiooni tõendamine - Mistahes PoC-kood või ekraanipildid
  5. keskkond - Brauser, operatsioonisüsteem ja muud olulised andmed
  6. Teie kontaktandmed - Kuidas me saame teiega järelpärimiseks ühendust võtta

Vihje: Tundliku teabe puhul palun krüpteerige oma e-kiri meie PGP-võtmega.

Vastuse ajajoon

1️⃣ Esialgne vastus - 48 tunni jooksul pärast aruande esitamist
2️⃣ Staatuse uuendus - 7 päeva jooksul koos triaaži tulemustega
3️⃣ Resolutsiooni ajaskaala - Sõltub raskusastmest (teavitatakse pärast triaaži)
4️⃣ Avalikustamine - Koordineeritud avalikustamine pärast paranduse juurutamist

Safe Harbor

Meie arvates on käesoleva poliitika kohaselt läbi viidud turvauuringud järgmised:

  • Volitatud vastavalt kehtivatele seadustele
  • vabastatud teenusetingimuste piirangutest, mis võivad uurimistööd segada
  • Seaduslik ja on abiks meie süsteemide turvalisuse tagamisel

Me EI algata õiguslikke samme teadlaste vastu, kes:

  • Tehke heas usus pingutusi privaatsusrikkumiste ja -häirete vältimiseks
  • Suhtle ainult kontodega, mis kuuluvad sulle või millel on selgesõnaline luba
  • Ärge kasutage ära haavatavusi, mis ületavad kontseptsiooni tõestamise piirid
  • Teata haavatavustest viivitamatult
  • Hoidke haavatavuse üksikasju konfidentsiaalsena, kuni oleme need lahendanud

Krüpteerimine

Tundlike haavatavuste turvaliseks edastamiseks palun kasutage oma sõnumite krüptimiseks meie avalikku PGP-võtit:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Meie peamised detailid:

  • Type: RSA 4096-bitine
  • Sõrmejälg: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Kehtiv kuni: 2027-10-14

Tunnustused

Me usume, et tuleb tunnustada turvateadlasi, kes aitavad meil oma turvalisust parandada. Haavatavusi vastutustundlikult avalikustavad teadlased võivad olla:

  • Avalikult meie veebisaidil tunnustatud (loal)
  • Lisatud meie turvalisuse kuulsuste halli
  • Pakutakse koos swagi või muu tunnustusega

Märkus. Me ei paku hetkel vigade eest tasu otsimise programmi, kuid hindame sügavalt vastutustundlikku avalikustamist ja oleme tänulikud teie panuse eest.