Политика уведомлений об уязвимостях

1. Введение

Компания Trading Point Group (здесь и далее «Trading Point») осознает необходимость обращения за помощью к специалистам и энтузиастам по кибербезопасности в целях защиты пользовательских данных и совместной работы по повышению степени защищенности ПО и приложений компании. Целью настоящей политики является создание и предоставление аналитикам по безопасности четкого руководства по проведению анализа уязвимостей и способов передачи найденных уязвимостей нашей компании.

К участию на добровольных началах по выявлению уязвимостей в системах Trading Point приглашаются исследователи и аналитики. В настоящей политике приводятся сведения о системах и видах анализа, и порядок представления отчетов об уязвимостях в нашу компанию.

Направлять отчеты об уязвимостях следует согласно условиям, приведенным на данной странице. Направляя такой отчет в компанию Trading Point, аналитик подтверждает, что прочел настоящие условия и выражает согласие с ними.

2. Условия и положения

2.1 Действия по ограничению аналитиков от ответственности (разрешение на проведения анализа)

Мы ожидаем от вас, аналитиков по кибербезопасности, добросовестного и честного подхода в проведении анализа уязвимостей и составлении отчетов. Отчеты должны быть выполнены в соответствии с положениями настоящей политики, а также:

• должны соответствовать требованиям всех действующих законов в отношении противодействия компьютерным злоумышленникам. С нашей стороны мы обязуемся не обращаться в правоохранительные органы и не возбуждать правового преследования в отношении вас из-за вашей работы по составлению отчетов об уязвимостях наших систем;

• должны соответствовать требованиям всех действующих законов, предусматривалющих ответственность за обход защиты компьютерных систем. С нашей стороны мы обязуемся не обращаться в правоохранительные органы с заявлениями в отношении вас за ваши действия по обходу защиты систем;

• должны быть выполнены в соответствии с законом и должны способствовать повышению общей безопасности Интернета, а также должны быть составлены в соответствии с принципами честности и добросовестности;

Мы ожидаем от вас работы в соответствии со всеми применимыми законами. В случае, если в отношении вас какие-либо третьи лица будут инициировать за вашу деятельность, которую вы ведете в рамках настоящей политики, уголовные или административные преследования, мы предадим огласке наше разрешение на проведение анализа уязвимостей.

Если в какой-либо момент времени у вас появятся сомнения относительно соответствия вашего исследования настоящей политике, просим вас остановить работу и отправить отчет в том виде, в котором он есть на тот момент, через один из наших официальных каналов (приведенных ниже в настоящем документе).

Обращаем ваше внимание на то, что положения данного раздела «Действия по ограничению аналитиков от ответственности» относятся только к юридическим жалобам и требованиям, которые могут быть направлены организацией, предусмотренной в данной политике, и на то, что данная политика не накладывает каких-либо обязательств на третьи лица.

2.2. Руководящие принципы

В контексте настоящей политики под исследованиями понимается деятельность, в ходе которой вы:

• оповещаете нашу компанию о найденной фактической или возможной (потенциальной) проблеме с безопасностью в кратчайшие сроки;

• предпринимаете все действия во избежание нарушений конфиденциальности, ухудшения пользовательского опыта и неполадок продуктовых систем, а также уничтожения данных или их злоупотребления;

• используете эксплоиты только в той мере, в какой это необходимо для подтверждения наличия уязвимости. Вы не пользуетесь эксплоитами в целях компрометации или эксфильтрации данных, установления постоянного доступа через командную строку, или в целях доступа к другим системам.

Вы также должны:

• играть по правилам, в том числе, соблюдать положения настоящий политики и всех прочих соответствующих соглашений. При наличии несоответствий между настоящей политикой и прочими применимыми законами преобладающее значение имеет настоящая политика;

• работать только с собственными тестовыми счетами;

• в ходе проведения любых операций по тестированию создавать не более 2 (двух) счетов;

• для разглашения и (или) обсуждения информации об уязвимостях пользоваться только официальными каналами;

• в каждом отчете сообщать только об одной уязвимости, кроме случаев, когда в отчет необходимо включать несколько уязвимостей в целях демонстрации их совместного влияния на уровень безопасности;

• после направления отчета надежно удалять все данные, полученные в ходе исследования;

• проводить тестирование только в отношении систем, включенных в объем тестирования, не проникать в системы и не нарушать работу других систем, которые не входят в объем тестирования;

• не применять высокочастотные проникающие или автоматизированные инструменты сканирования в целях поиска уязвимостей;

• не размещать в свободном доступе никакие найденные уязвимости без письменного разрешения на это от компании Trading Point;

• не проводить DoS-атак;

• не проводить атак типа «Социальная инженерия» и (или) физически не нарушать периметры безопасности офисов компании Trading Point, а также не взаимодействовать с пользователями и сотрудниками компании физически без их согласия;

• не проводить автоматизированное (скриптовое) тестирование веб-форм, особенно форм для связи, которые предназначены для связи клиентов со службой клиентской поддержки.

После того как вы обнаружите уязвимости или непреднамеренно получите доступ к конфиденциальной информации (в том числе персональным данным, финансовой информации, интеллектуальной собственности, коммерческой тайне каких-либо лиц), вы должны остановить тестирование, немедленно уведомить нас об этом и не сообщать полученные данные кому-либо другому. Вы также должны ограничить свой доступ к данным только той информацией, которая необходима для доказательства уязвимости.

2.3. Предоставление отчетов об уязвимостях. Официальные каналы

Отчеты о проблемах с безопасностью (фактически найденных или потенциально возможных уязвимостях) просим направлять на адрес эл. почты vulnerability.disclosure@xm.com, предоставляя также всю соответствующую информацию. Чем более подробную информацию вы предоставите, тем проще нам будет понять и устранить проблему.

В целях упрощения работы с вашими отчетами мы рекомендуем вам в своих отчетах:

• приводить описание местоположения или пути в приложении, где была найдена уязвимость, и вероятный эффект эксплуатации уязвимости на безопасность систем компании;

• приводить подробное описание действий, необходимых для повторного воспроизведения уязвимости (будут весьма полезны скрипты и скриншоты в доказательство уязвимости);

• приводить как можно больше подробной информации;

• указывать IP-адрес, с которого вы проводили тестирование, адрес эл. почты, а также имена пользователей на торговой платформе, если вы таковыми пользовались;

• по возможности, предоставлять информацию на английском языке.

Если вы считаете, что найденная уязвимость весьма серьезна или она может привести к утечке конфиденциальной информации, вы можете направить нам эл. письмо, зашифрованное методом PGP-шифрования, с помощью нашего PGP-ключа.

2.4 Объем тестирования

а) Включенные в объем тестирования системы и сервисы

б) Не включенные в объем тестирования системы и сервисы

Любые сервисы (к примеру, подключенные сервисы), системы или домены, не указанные в разделе «Включенные в объем тестирования системы и сервисы» и не предусмотренные для тестирования. Кроме того, в объем тестирования в контексте настоящей политики не включаются уязвимости, найденные в системах, которые предоставляются нашими поставщиками. Информацию о таких уязвимостях следует направлять непосредственно поставщикам, в соответствии с их политикой о разглашении информации, если таковая имеет место. При наличии сомнений относительно включения какой-либо системы в объем тестирования направляйте нам письма на адрес эл. почты vulnerability.disclosure@xm.com.

в) Включенные в тестирование уязвимости

• SQL-инъекции;

• межсайтовый скриптинг (XSS);

• удаленное выполнение кода (RCE);

• подделка запросов на стороне сервера (SSRF);

• сброс авторизации и управление сессиями;

• небезопасные прямые ссылки на объект (IDOR);

• доступ к чувствительным данным;

• возможность просмотра каталогов и файлов;

• локальное и удаленное внедрение файлов;

• межсайтовая подделка запросов (CSFR) с очевидно высоким влиянием на безопасность;

• непроверенная переадресация на чувствительные параметры;

• захват поддоменов (при захвате поддомена добавляйте на сайты безобидную надпись, к примеру, такую: «Мы работаем над устранением неполадки и вскоре работа сервиса возобновится»).

г) Не включенные в объем тестирования уязвимости

Некоторые виды уязвимостей не включаются в программу по нахождению уязвимостей. В число таких уязвимостей, помимо прочих, входят:

• проблемы, связанные с настройками почты, в том числе настройками SPF, DKIM и DMARC;

• уязвимости, эксплуатируемые методами кликджекинга и не ведущие к опасным последствиям, к примеру, внесению изменений в аккаунт (счет);

• уязвимости вида self-XSS, то есть такие ситуации, при которых пользователя вынуждают вставлять программный код в свой веб-браузер;

• подмена содержимого, при которой влияние на безопасность минимально (к примеру, внедрение текста, не являющегося кодом HTML);

• межсайтовая подделка запросов (CSRF), при которой влияние на безопасность системы минимально (к примеру, подделка запросов в формах входа или выхода из системы);

• непроверенная переадресация, кроме случаев, когда имеет место дополнительное влияние на безопасность системы;

• CRLF-инъекции, при которых влияние на безопасность системы минимально;

• инъекция заголовка хоста, при которой влияние на безопасность минимально;

• отсутствие флагов HttpOnly или Secure в не представляющих угрозу файлах куки;

• невыполнение рекомендованных действий в настройке конфигураций SSL/TLS и в зашифрованных сообщениях;

• отсутствующие или неверно прописанные HTTP-заголовки безопасности (к примеру, CSP и HSTS);

• отсутствие методов CAPTCHA в формах;

• указание имени пользователя или адреса эл. почты в сообщениях об ошибке на странице входа в аккаунт;

• указание имени пользователя или адреса эл. почты в сообщениях об ошибке «Забыл пароль»;

• уязвимости, требующие нестандартных пользовательских действий, совершение которых маловероятно;

• недостаточная сложность паролей и все прочие проблемы, связанные с политиками выбора паролей и настройками счетов;

• отсутствие методов завершения сессии по истечении определенного времени;

• брутфорс-атаки;

• отсутствие ограничений по частоте запросов в отношении некритичных действий;

• уязвимости системы управления WordPress без очевидных возможностей эксплуатации;

• сообщение об уязвимых версиях ПО без доказательств возможности эксплуатации;

• любые действия, которые могут привести к отказу работы наших сервисов (DoS);

• отсутствие мер, препятствующих получению рут-доступа (обход защиты от получения рут-доступа) в мобильных устройствах;

• отсутствие внедрения SSL-сертификата в код мобильного приложения (обход внедрения SSL-сертификата в код мобильного приложения);

• отсутствие обфускации кода (мобильные приложения);

2.5 Время ответа

Компания Trading Point намерена делать всё возможное, чтобы сотрудничать с вами максимально открыто и максимально быстро отвечать на все ваши запросы. Компания будет стремиться отвечать на ваши запросы и пожелания в течение следующих сроков для ответов, которые специально предусмотрены в отношении исследователей, участвующих в нашей программе:

• время первого ответа (начиная со дня предоставления отчета) составляет 3 (три) рабочих дня. В течение этих рабочих дней мы направим вам сообщение о том, что ваш отчет принят;

• время на рассмотрение отчета (начиная со дня его отправления) составляет 5 (пять) рабочих дней.

По мере своих возможностей мы направим вам подтверждение наличия уязвимости и будем стараться быть максимально прозрачными и открытыми относительно действий, которые мы предпринимаем для устранения уязвимости, а также проблем и сложностей, которые могут привести к задержкам в устранении уязвимостей. Мы постараемся сообщать вам о ходе рассмотрения и устранения уязвимостей.

3. Вознаграждение

Мы ценим время и усилия, потраченные на нахождение уязвимостей в наших системах безопасности и составление отчетов по ним. Однако в настоящее время мы не предлагаем никакого вознаграждения за сообщения об уязвимостях. В дальнейшем, возможно, наша позиция по выплате вознаграждений изменится.

4. Обратная связь

Если вы хотите дать обратную связь или свои предложения относительно настоящей политики, направляйте письма на адрес эл. почты vulnerability.disclosure@xm.com.

Благодарим вас за ваш вклад в безопасность и защиту компании Trading Point и наших пользователей.

5. Отпечаток PGP-ключа

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Скачать PGP-ключ «Политики уведомлений об уязвимостях компании Trading Point»

Примечание. Просим вас шифровать свои сообщения указанным выше PGP-ключом и прикладывать к письму собственный открытый ключ.