Zásady odhalování zranitelnosti

1. Úvod

Trading Point Group (dále jen „Trading Point“) vnímá potřebu oslovit komunitu zabývající se kybernetickou bezpečností za účelem chránit data zákazníků a spolupracovat na vytváření bezpečnějších řešení a aplikací. Cílem těchto zásad je poskytnout výzkumným odborníkům na zabezpečení jasné pokyny pro provádění činností souvisejících s odhalováním zranitelnosti a sdělit naše preference ohledně způsobu, jakým nám mají odhalené zranitelnosti předkládat.

Výzkumní odborníci mohou dobrovolně nahlásit zranitelnosti, které naleznou v souvislosti se systémy společnosti Trading Point. Tyto zásady popisují, na jaké systémy a typy výzkumu se tyto zásady vztahují a jak nám hlášení zranitelností předkládat.

Zasílání hlášení o zranitelnostech podléhá podmínkám uvedeným na této stránce a zasláním hlášení o zranitelnostech společnosti Trading Point výzkumní odborníci potvrzují, že se s těmito podmínkami seznámili a souhlasí s nimi.

2. Obchodní podmínky

2.1 Bezpečný přístav a oprávnění

Při provádění výzkumu zranitelnosti, který se snaží v dobré víře dodržovat tyto zásady, považujeme váš výzkum za:

Oprávněný, kdy i přes všechny platné zákony proti hackerům nebudeme proti vám a vašem výzkumu navrhovat ani podnikat právní kroky.
Oprávněný, kdy i přes všechny možná obcházení zákona nebudeme proti vám podávat žalobu za obcházení technologických kontrol.
Zákonný a užitečný pro celkové zabezpečení internetu, prováděný v dobré víře.

Vyžadujeme, abyste dodržovali všechny platné zákony. Pokud proti vám třetí strana zahájí právní kroky za činnosti, které jste prováděli v dobré víře v souladu s těmito zásadami, zveřejníme toto oprávnění.

Pokud máte jakékoliv pochybnosti nebo si nejste jisti, zda je váš výzkum zabezpečení v souladu s těmito zásadami, před zahájením dalšího postupu nám zašlete zprávu prostřednictvím některého z našich oficiálních kanálů (podle níže uvedených pokynů).

Upozorňujeme, že tzv. „bezpečný přístav“ se vztahuje pouze na právní nároky pod kontrolou organizace, která se účastní těchto zásad, a že tyto zásady nejsou závazné pro nezávislé třetí strany.

2.2 Pravidla

Podle těchto zásad se „výzkumem“ rozumí činnosti, při kterých:

Bezodkladně informujete společnost poté, co zjistíte skutečný nebo potenciální bezpečnostní problém.
Vynaložíte maximální úsilí k zamezení porušení soukromí, zhoršení uživatelského pohodlí, narušení produkčních systémů a zničení nebo manipulaci s daty.
Využijete prostředky ke zneužití pouze v rozsahu nezbytném k potvrzení přítomnosti zranitelnosti. Nepoužíváte prostředky ke zneužití ke kompromitaci nebo exfiltraci dat, k vytvoření trvalého přístupu k příkazovému řádku nebo k využití prostředků k zneužití pro přechod na jiné systémy.

Žádáme vás také o:

Dodržování pravidel, včetně dodržování těchto zásad a všech dalších příslušných dohod. Pokud dojde k jakémukoliv rozporu mezi těmito zásadami a jakýmikoliv jinými platnými podmínkami, mají přednost podmínky v těchto zásadách.
Interakci prováděnou pouze s vlastními testovacími účty.
Omezení založení účtu na maximálně dva (2) účty za účelem testování.
Výhradní použití oficiálních kanálů ke sdělování informací o zranitelnostech a/nebo k diskuzi s naší společností.
Předložení jedné zranitelnosti v každé zprávě, pokud není nutné zranitelnosti řetězit za účelem prokázání jejich dopadu.
Bezpečné odstranění všech údajů získaných během výzkumu po odeslání zprávy.
Testování pouze na určených systémech a respektování systémů a činností, které jsou mimo daný rámec.
Zamezení využití invazivních nebo automatizovaných skenovacích nástrojů pro vyhledávání zranitelností.
Dodržení zásady nezveřejňovat zranitelnosti bez předchozího písemného souhlasu společnosti Trading Point.
Dodržení zásady nevyužívat tzv. „Denial of Service“ útok.
Dodržení zásady neprovádět útoky sociálního inženýrství a/nebo fyzického zabezpečení na kanceláře, uživatele nebo zaměstnance společnosti Trading Point.
Zamezení použití automatického/skriptovaného testování webových formulářů, zejména formulářů pod názvem „Kontaktujte nás“, které jsou určeny k tomu, aby zákazníci kontaktovali náš tým zákaznické podpory.

Po identifikaci zranitelnosti nebo po neúmyslném setkání s citlivými údaji (včetně osobních údajů, finančních informací, vlastnických informací nebo obchodních tajemství jakékoli strany) musíte testování zastavit, okamžitě nás informovat a tyto údaje nikomu jinému nesdělovat. Měli byste také omezit svůj přístup na minimální množství dat, které je nutné pro efektivní předvedení ověření funkčnosti konceptu.

2.3 Nahlášení zranitelnosti a oficiální kanály

Problémy se zabezpečením, nebo aktuální a potenciální zjištění zranitelnosti nahlaste prostřednictvím e-mailu vulnerability.disclosure@xm.com a uveďte všechny relevantní informace. Čím více podrobností nám sdělíte, tím snadnější bude pro nás řešení a oprava problému.

Pro usnadnění třídění a stanovení priorit doporučujeme, aby vaše zprávy:

Popisovaly umístění nebo cestu v aplikaci, ve které byla zranitelnost objevena, a potenciální dopad zneužití.
Uváděly podrobný popis kroků potřebných k zopakování zranitelnosti (užitečné jsou skripty nebo snímky obrazovky).
Obsahovaly co nejvíce podrobností.
Uváděly IP adresu, ze které jste testovali, e-mailovou adresu, tzv. „user agenta“ a uživatelské jméno (jména) použité v obchodní platformě (pokud existuje).
Byly v ideálním případě přeloženy do angličtiny.

Pokud se domníváte, že zranitelnost je závažná nebo obsahuje citlivé informace, můžete našemu týmu poslat e-mail zašifrovaný otiskem veřejného klíče („PGP“) pomocí našeho PGP klíče.

2.4 Oblast působnosti

a) Systémy a služby v oblasti působnosti

Domény	Android aplikace	iOS aplikace
https://www.xm.com/cz https://my.xm.com/cz	XM Android aplikace (com.xm.webapp)	XM iOS aplikace (id1072084799)

Domény

Android aplikace

iOS aplikace

https://www.xm.com/cz

https://my.xm.com/cz

XM Android aplikace (com.xm.webapp)

XM iOS aplikace (id1072084799)

b) Systémy a služby mimo oblast působnosti

Jakékoliv služby (například související služby), systémy nebo domény, které nejsou výslovně uvedeny ve výše uvedeném oddíle „Systémy a služby v oblasti působnosti“, jsou z působnosti vyloučeny a jejich testování není povoleno. Zranitelnosti nalezené v systémech od našich dodavatelů navíc nespadají do působnosti těchto zásad a měly by být nahlášeny přímo dodavateli v souladu s jeho zásadami zveřejňování (v případě, že jsou k dispozici). Pokud si nejste jisti, zda systém spadá do oblasti působnosti, kontaktujte nás na e-mailu vulnerability.disclosure@xm.com.

c) Zranitelnosti v oblasti působnosti

SQL injection
Cross-Site Scripting (XSS)
Remote code execution (RCE)
Server-Side Request Forgery (SSRF)
Chybné ověřování a správa relací
Insecure Direct Object Reference (IDOR)
Odhalení citlivých údajů
Procházení adresářů a cest
Místní nebo vzdálené začlenění souborů
Cross-Site Request Forgery (CSRF) s prokazatelně velkým dopadem
Otevřené přesměrování citlivých parametrů
Převzetí subdomény (v případě převzetí subdomény přidejte přátelskou zprávu typu „Pracujeme na tom a brzy se vrátíme.“)

d) Zranitelnosti mimo oblast působnosti

Některé zranitelnosti jsou považovány za chyby mimo působnost programu odhalování zranitelností. Mezi vyloučené zranitelnosti mimo jiné patří:

Problémy s konfigurací pošty včetně nastavení SPF, DKIM a DMARC
Zranitelnosti typu Clickjacking, které nevedou k citlivým akcím, jako je například modifikace účtu.
Self-XSS (situace, při které je třeba uživatele přinutit, aby vložil kód do svého webového prohlížeče.)
Podvržení obsahu s minimálním výsledným dopadem (např. vložení textu jiného než HTML)
Cross-Site Request Forgery (CSRF) s minimálním výsledným dopadem (např. CSRF ve formulářích pro přihlášení nebo odhlášení)
Otevřené přesměrování, u kterého nelze prokázat dodatečný dopad na bezpečnost.
Útoky CRLF s minimálním výsledným dopadem
Napadení hlavičky hostitele s minimálním výsledným dopadem
Chybějící příznaky HttpOnly nebo Secure u necitlivých souborů cookie
Chybějící osvědčené postupy v konfiguraci SSL/TLS a šifry
Chybějící nebo špatně nakonfigurované hlavičky zabezpečení HTTP (např. CSP, HSTS)
Chybějící ovládací prvky Captcha ve formulářích
Výčet uživatelského jména nebo e-mailu prostřednictvím chybové zprávy na přihlašovací stránce
Výčet uživatelského jména nebo e-mailu prostřednictvím chybové zprávy v sekci zapomenuté heslo
Problémy vyžadující nepravděpodobnou interakci uživatele
Složitost hesla nebo jakýkoliv jiný problém týkající se zásad účtů nebo hesel
Nedostatek časového limitu relace
Útoky hrubou silou
Problémy s omezením rychlosti u nekritických akcí
Zranitelnosti WordPressu bez důkazu zneužitelnosti
Zveřejnění zranitelné verze softwaru bez důkazu zneužitelnosti
Jakákoliv činnost vedoucí k narušení našich služeb (DoS)
Chybějící kořenová ochrana nebo obcházení kořenové ochrany u mobilních aplikací
Chybějící připnutí certifikátu SSL nebo obcházení připnutí certifikátu SSL u mobilních aplikací
Chybějící obfuskace kódu u mobilních aplikací

2.5 Reakční doba

Trading Point se zavazuje, že s vámi bude co nejotevřeněji a nejrychleji spolupracovat a vyvine maximální úsilí při komunikaci s výzkumnými pracovníky, kteří se účastní našeho programu, a to za účelem splnění následujících cílů:

Doba do první odpovědi (ode dne podání zprávy) je tři (3) pracovní dny. Do tří pracovních dnů vám potvrdíme, že jsme obdrželi vaši zprávu.
Doba do vyřízení (od podání hlášení) je pět (5) pracovních dnů.

V rámci našich možností vám potvrdíme existenci zranitelnosti a budeme vás co nejjasněji informovat o krocích, které podnikáme během procesu nápravy, a o problémech nebo výzvách, které mohou řešení zpozdit. V průběhu celého procesu se vás budeme snažit informovat o našem postupu.

3. Odměny

Vážíme si všech, kteří věnují čas a úsilí nahlášení bezpečnostních chyb podle těchto zásad. V současné době však za odhalení zranitelností nenabízíme žádné odměny. To se však může v budoucnu změnit.