Sérülékenységek közzétételére vonatkozó szabályzat

1. Bevezetés

A Trading Point Group (a továbbiakban, mint „Trading Point”) elismeri, hogy szükség van a kiberbiztonsági közösség megközelítésére az ügyféladatok védelme céljából, és együtt kell működni a biztonságosabb megoldások és alkalmazások létrehozása érdekében. Jelen szabályzat célja, hogy egyértelmű útmutatásokkal szolgáljon a biztonsági kutatóknak a sérülékenység-felderítési tevékenységek végrehajtásához, és bemutassa, hogyan szeretnénk a feltárt sérülékenységek beküldését cégünknek.

Örömmel vesszük, ha a kutatók önként jelentik a Trading Point rendszereivel kapcsolatos sérülékenységeket. Ebben a szabályzatban bemutatjuk, hogy milyen rendszerekre és milyen típusú kutatásokra vonatkozik ez a szabályzat, valamint hogyan kell beküldeni nekünk a sérülékenységi jelentéseket.

A sérülékenységi jelentések beküldése az ezen az oldalon szereplő felhasználási feltételek szerint történik, és a sérülékenységi jelentés Trading Pointnak történő beküldésével a kutatók elismerik, hogy elolvasták és beleegyeznek ezekbe a felhasználási feltételekbe.

2. Felhasználási feltételek

2.1. Mentesülés / engedélyezés

Amikor Ön a jelen szabályzat betartására tett jószándékú erőfeszítéssel végez sérülékenységi kutatást, a kutatását:

• a hackelés elleni hatályos törvények vonatkozásában engedélyezettnek tekintjük, és nem javaslunk, illetve nem teszünk jogi lépéseket Ön ellen a kutatása miatt.

• a kijátszás elleni hatályos törvények vonatkozásában engedélyezettnek tekintjük, és nem nyújtunk be Ön ellen keresetet a műszaki felügyelet kijátszása miatt.

• törvényesnek, az internet általános biztonságát elősegítőnek, valamint jóhiszeműen végzettnek tekintjük.

Önnek minden vonatkozó törvényt be kell tartania. Ha egy harmadik fél jogi lépést kezdeményez Ön ellen a jelen szabályzat szerint jóhiszeműen végrehajtott tevékenységei miatt, közzétesszük ezt az engedélyezést.

Ha bármikor aggályai merülnének fel, vagy bizonytalan lenne azt illetően, hogy biztonsági kutatása megfelel-e a jelen szabályzatnak, küldjön be egy jelentést valamelyik (az alábbiakban meghatározott) hivatalos csatornánkon keresztül, mielőtt folytatná tevékenységét.

Felhívjuk figyelmét, hogy a mentesítés csak a jelen szabályzatban részt vevő szervezet irányítása alá tartozó jogi követelésekre vonatkozik, és a szabályzat független külső felek számára nem kötelező érvényű.

2.2. Irányelvek

A jelen szabályzat szerint a „kutatás” olyan tevékenységeket jelent, amelyek során Ön az alábbiakat teszi:

• Egy valós vagy potenciális biztonsági probléma felfedezése után a lehető leghamarabb értesít bennünket.

• Mindent megtesz azért, hogy elkerülje az adatvédelmi szabálysértéseket, a felhasználói élmény lerontását, a gyártási rendszerek működésének megszakítását, valamint az adatok megsemmisítését vagy manipulálását.

• Csak olyan mértékben használja az exploitokat, amennyire a sérülékenység igazolásához szükséges. Ne használjon exploitokat adatok kompromittálására vagy kivonására, állandó parancssor hozzáférés létrehozására, továbbá ne használja az exploitokat más rendszerekbe történő beférkőzésre.

Emellett a következőkre is megkérjük:

• Tartsa be a szabályokat, többek között a jelen szabályzatot és minden más vonatkozó megállapodást. Amennyiben ellentmondás fedezhető fel a jelen szabályzat és egy másik vonatkozó feltétel között, a jelen szabályzat feltételei irányadók.

• Csak a saját tesztszámláját használja.

• Tesztelés céljából korlátozza a számlanyitásokat összesen két (2) számlára.

• Csak a hivatalos csatornákat használja a sérülékenységi információk felénk történő feltárására és/vagy megbeszélésére.

• Jelentésenként egy sérülékenységet küldjön be, amennyiben nem szükséges a sérülékenységek láncolatával demonstrálnia a hatást.

• A jelentés beküldését követően biztonságosan törölje a kutatás során kinyert összes adatot.

• Csak a hatókörön belüli rendszereken végezzen tesztelést, és tartsa tiszteletben a hatókörön kívüli rendszereket és tevékenységeket.

• Kerülje a nagy intenzitású, invazív vagy automatizált keresőeszközök használatát a sérülékenységek kereséséhez.

• A Trading Point előzetes írásbeli beleegyezése nélkül ne hozzon nyilvánosságra semmilyen sérülékenységet.

• Ne hajtson végre „szolgáltatás-megtagadás” támadást.

• Ne hajtson végre pszichológiai befolyásolást és/vagy fizikai biztonsági támadást a Trading Point irodái, felhasználói vagy alkalmazottai ellen.

• Ne végezze internetes űrlapok, különösen az ügyfelek az ügyfélélményért felelős munkatársainkkal való kapcsolatfelvételére szolgáló „Kapcsolatfelvétel” űrlapok automatizált/szkript alapú tesztelését.

Amint megállapította egy sebezhetőség meglétét, vagy véletlenül valamilyen érzékeny adatot talál (például személyesen azonosítható információkat (PII), pénzügyi adatokat, tulajdonosi adatokat vagy bármelyik fél kereskedelmi titkait), le kell állítania a tesztelését, azonnal értesítenie kell bennünket, és tilos bárki másnak felfednie ezeket az adatokat. Emellett hozzáférését a koncepció igazolásának hatékony demonstrálásához szükséges minimális adatra kell korlátoznia.

2.3. Sérülékenység jelentése / Hivatalos csatornák

A biztonsági problémákat / tényleges vagy potenciális sérülékenységi eredményeket a vulnerability.disclosure@xm.com címre küldje el, minden vonatkozó információ megadásával. Minél több részletet oszt meg velünk, annál könnyebben tudjuk osztályozni és korrigálni a problémát.

Hogy megkönnyíthesse számunkra a beadványok osztályozását, javasoljuk, hogy jelentései felejenek meg az alábbi feltételeknek:

• Mutassák be a helyet vagy az alkalmazási útvonalat, ahol a sérülékenységet felfedezte, és a hiba kihasználásának lehetséges hatását.

• Tartalmazzák a sérülékenység reprodukálásához szükséges lépések részletes leírását (hasznosak lehetnek a koncepció bizonyításának leírásai vagy a képernyőképek).

• A lehető legtöbb részletet tartalmazzák.

• Szerepeljen bennük az IP-cím, amelyről a tesztelést végezte, az e-mail cím, a felhasználói ügynök és a felhasználónév/felhasználónevek, amelyeket a kereskedési platformon használt (amennyiben használt).

• Lehetőség szerint angol nyelvűek legyenek.

Ha úgy véli, hogy a sérülékenység súlyos, vagy érzékeny információkat tartalmaz, PGP-kulcsunkat használva küldhet PGP titkosítással írt e-mailt a munkatársainknak.

2.4. Hatókör

a) Hatókörön belüli rendszerek / szolgáltatások

b) Hatókörön kívüli rendszerek/szolgáltatások

A „Hatókörön belüli rendszerek / szolgáltatások” című részben kifejezetten nem felsorolt szolgáltatások (pl. kapcsolt szolgáltatások), rendszerek vagy tartományok ki vannak zárva a hatókörből, és tesztelésük nem engedélyezett. Továbbá a forgalmazóinktól származó rendszerekben talált sérülékenységek is kívül esnek a jelen szabályzat hatókörén, és ezeket közvetlenül a forgalmazónak kell jelenteni annak saját közzétételi szabályzata szerint (ha van). Ha nem biztos abban, hogy egy bizonyos rendszer beletartozik-e a hatókörbe, forduljon hozzánk a vulnerability.disclosure@xm.com e-mail címen.

c) Hatókörön belüli sérülékenységek

• SQL-injektálás

• weboldalak közötti szkriptelés (XSS)

• távoli kódfuttatás (RCE)

• szerveroldali kéréshamisítás (SSRF)

• sérült hitelesítés és munkamenet-kezelés

• nem biztonságos közvetlen objektumhivatkozás (IDOR)

• érzékeny adatok kitettsége

• könyvtár-/útkeresztezés

• helyi / távoli fájlbefoglalás

• weboldalak közötti kéréshamisítás (CSRF) kimutatható nagy hatással

• nyílt átirányítás érzékeny paraméterekre

• altartomány-átvétel (altartomány-átvétel esetén adjon hozzá egy barátságos üzenetet, pl. „Dolgozunk rajta, hamarosan visszatérünk.”)

d) Hatókörön kívüli sérülékenységek

Bizonyos sérülékenységek a sérülékenységek közzétételére vonatkozó program szempontjából hatókörön kívülinek számítanak. Többek között a következő sérülékenységek tartoznak ide:

• e-mail konfigurációs problémák, például SPF, DKIM, DMARC beállítások

• olyan kattintáseltérítéses sérülékenységek, amelyek nem vezetnek érzékeny műveletekhez, például fiókmódosításhoz

• manipulált önkéntes weboldalak közötti szkriptelés (self-XSS, amikor a felhasználót manipulatív módszerekkel ráveszik, hogy kódot másoljon be a saját internetes böngészőjébe)

• tartalomhamisítás, amikor az ebből következő hatás minimális (pl. nem HTML szöveg injektálás)

• olyan weboldalak közötti kéréshamisítás (CSRF), amikor az ebből következő hatás minimális (pl. CSRF bejelentkezési vagy kijelentkezési űrlapokon)

• nyílt átirányítás, amely esetében nem lehet kimutatni további biztonsági hatást

• olyan CRLF (kocsi vissza, sortáplálás) injekció támadások, ahol az ebből következő hatás minimális

• olyan host fejléc injekció, ahol az ebből következő hatás minimális

• hiányzó HttpOnly vagy Biztonságos jelölők nem érzékeny sütiken

• hiányzó legjobb gyakorlatok az SSL (Secure Sockets Layer) / TLS (Közlekedési réteg biztonsága) konfigurációban és a rejtjelezőkben

• hiányzó vagy hibásan konfigurált HTTP biztonsági fejlécek (pl. tartalombiztonsági szabályzat (CSP), HTTP szigorú átvételi biztonsága (HSTS))

• űrlapok, amelyekről hiányoznak a Captcha vezérlők

• felhasználónév / e-mail cím felsorolás bejelentkezési oldal hibaüzenet segítségével

• felhasználónév / e-mail cím felsorolás elfelejtett jelszó hibaüzenet segítségével

• valószínűtlen felhasználói együttműködést igénylő problémák

• jelszó összetettsége, vagy a fiók- ill. jelszószabályzatokhoz kapcsolódó bármilyen más probléma

• munkamenet-időtúllépés hiánya

• teljes kipróbálás módszerén alapuló (brute-force) támadások

• sebességkorlát problémák nem kritikus műveletek esetén

• WordPress sérülékenységek a kihasználhatóság bizonyítéka nélkül

• szoftververzió sérülékenységének közzététele a kihasználhatóság bizonyítéka nélkül

• olyan művelet, amely szolgáltatásunk leállásához vezethet (DoS)

• gyökérvédelem hiánya / gyökérvédelem elkerülése (mobilalkalmazások)

• SSL tanúsítvány kitűzésének hiánya / SSL tanúsítvány kitűzésének elkerülése (mobilalkalmazások)

• kód-obfuszkáció hiánya (mobilalkalmazások)

2.5. Válaszidők

A Trading Point elkötelezetten törekszik arra, hogy a lehető legnyíltabban és leggyorsabban egyeztessen Önnel, és minden tőlünk telhetőt megteszünk azért, hogy teljesítsük a következő válaszidőket a programunkban részt vevő kutatók felé:

• (A jelentés beküldésének napjától számítva) az első válaszig tartó idő három (3) munkanap. Három munkanapon belül nyugtázzuk, hogy megkaptuk az Ön jelentését.

• (A jelentés beküldésétől számítva) az osztályozásig tartó idő öt (5) munkanap.

Legjobb tudásunk szerint megerősítjük Önnek a sérülékenység meglétét, és a lehető legátláthatóbb módon tájékoztatjuk arról, hogy milyen lépéseket fogunk tenni a helyreállítási folyamat alatt, valamint arról, hogy milyen problémák vagy nehézségek hátráltathatják a megoldást. A teljes folyamat során tájékoztatjuk Önt az előrehaladásunkról.

3. Jutalmak

Nagyon hálásak vagyunk azoknak, akik időt és erőfeszítést szánnak arra, hogy a jelen szabályzat szerint bejelentsék a biztonsági sérülékenységeket. Pillanatnyilag azonban nem kínálunk fel jutalmat a sérülékenységek közzétételéért. Ez a későbbiekben változhat.

4. Visszajelzés

Amennyiben visszajelzése vagy javaslata lenne ezzel a szabályzattal kapcsolatban, forduljon hozzánk e-mailben a vulnerability.disclosure@xm.com címen.

Köszönjük, hogy Ön is segíti a Trading Point és felhasználóink védelmét.

5. PGP-kulcs ujjlenyomat

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Töltse le a Trading Point sérülékenység-közzétételi PGP-kulcsát.

Megjegyzés: titkosítsa üzeneteit a fenti PGP-kulccsal, és mellékelje a saját nyilvános kulcsát az e-mailben.