Mūsu apņemšanās drošības jomā

MoneyLead nopietni uztver drošību. Mēs novērtējam drošības pētnieku darbu, kuri palīdz mums aizsargāt mūsu lietotājus un uzlabot mūsu sistēmas. Šajā lapā ir izklāstīta mūsu drošības ievainojamību atklāšanas politika un tas, kā atbildīgi ziņot par drošības problēmām.

Joma

Darbības jomā:

  • moneylead.gg un visi apakšdomēni
  • Visas publiski pieejamās tīmekļa lietojumprogrammas
  • Visi API galapunkti
  • Autentifikācijas un autorizācijas mehānismi
  • Datu glabāšanas un pārraides drošība

Ārpus darbības jomas:

  • Sociālās inženierijas uzbrukumi
  • Fiziskās drošības testi
  • Pakalpojuma atteikuma (DoS/DDoS) uzbrukumi
  • Trešo pušu pakalpojumi (GitHub, CDN pakalpojumu sniedzēji utt.)
  • Surogātpasts vai uzbrukumi sociālajiem medijiem

Kā ziņot

Ziņojot par drošības ievainojamību, lūdzu, iekļaujiet:

  1. Apraksts - Skaidrs ievainojamības skaidrojums
  2. Reproducēšanas soļi - Detalizētas darbības problēmas reproducēšanai
  3. Ietekme - Iespējamā ietekme uz drošību un skartie lietotāji
  4. Koncepta pierādījums - Jebkurš PoC kods vai ekrānuzņēmumi
  5. vide - Pārlūkprogramma, operētājsistēma un cita svarīga informācija
  6. Jūsu kontaktinformācija - Kā mēs varam ar jums sazināties, lai saņemtu papildu informāciju

Padoms: Sensitīvas informācijas gadījumā, lūdzu, šifrējiet savu e-pastu, izmantojot mūsu PGP atslēgu.

Atbildes laika grafiks

1️⃣ Sākotnējā atbilde - 48 stundu laikā pēc ziņojuma iesniegšanas
2️⃣ Statusa atjauninājums - 7 dienu laikā ar triāžas rezultātiem
3️⃣ Izšķirtspējas laika skala - Atkarīgs no smaguma pakāpes (tiek paziņots pēc triāžas)
4️⃣ Atklāšana - Koordinēta informācijas atklāšana pēc labojuma ieviešanas

Safe Harbor

Mēs uzskatām, ka saskaņā ar šo politiku veiktie drošības pētījumi ir:

  • Autorizēts saskaņā ar piemērojamajiem likumiem
  • Atbrīvots no Pakalpojumu sniegšanas noteikumu ierobežojumiem, kas varētu traucēt pētniecībai
  • Likumīgi un noderīgi mūsu sistēmu drošībai

Mēs NEKĀPŠI ...VEICAM JURIDISKAS VEIKSMES pret pētniekiem, kuri:

  • Labticīgi centieties izvairīties no privātuma pārkāpumiem un traucējumiem
  • Mijiedarbojieties tikai ar kontiem, kas jums pieder vai ar kuriem ir skaidra atļauja
  • Neizmantojiet ievainojamības, kas pārsniedz koncepcijas pierādījumu
  • Nekavējoties ziņojiet par ievainojamībām
  • Saglabājiet ievainojamības informācijas konfidencialitāti, līdz mēs tās būsim novērsuši.

Šifrēšana

Lai nodrošinātu drošu saziņu par sensitīvām ievainojamībām, lūdzu, izmantojiet mūsu PGP publisko atslēgu, lai šifrētu savus ziņojumus:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Mūsu galvenās detaļas:

  • Tips: RSA 4096 bitu
  • Fingerprint: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Beidzas: 2027-10-14

Pateicības

Mēs ticam, ka jāatzīst drošības pētnieki, kuri palīdz mums uzlabot mūsu drošību. Pētnieki, kuri atbildīgi atklāj ievainojamības, var būt:

  • Publiski atzīts mūsu tīmekļa vietnē (ar atļauju)
  • Pievienots mūsu drošības slavas zālei
  • Nodrošināts ar suvenīriem vai citu atzinību

Piezīme. Pašlaik mēs nepiedāvājam kļūdu meklēšanas programmu, taču mēs augstu vērtējam atbildīgu informācijas atklāšanu un atzinīgi vērtēsim jūsu ieguldījumu.