Naša posvećenost sigurnosti

MoneyLead shvata sigurnost ozbiljno. Cijenimo rad istraživača sigurnosti koji nam pomažu da zaštitimo naše korisnike i poboljšamo naše sisteme. Ova stranica opisuje našu politiku otkrivanja sigurnosnih ranjivosti i kako odgovorno prijaviti sigurnosne probleme.

obim

U opsegu:

  • moneylead.gg i sve poddomene
  • Sve javno dostupne web aplikacije
  • Sve API krajnje tačke
  • Mehanizmi autentifikacije i autorizacije
  • Sigurnost pohrane i prijenosa podataka

Izvan dometa:

  • Napadi socijalnog inženjeringa
  • Testovi fizičke sigurnosti
  • Napadi uskraćivanja usluge (DoS/DDoS)
  • Usluge trećih strana (GitHub, CDN provajderi, itd.)
  • Spam ili napadi na društvenim mrežama

Kako prijaviti

Prilikom prijavljivanja sigurnosne ranjivosti, molimo vas da uključite:

  1. Opis - Jasno objašnjenje ranjivosti
  2. Koraci za reprodukciju - Detaljni koraci za reprodukciju problema
  3. udar - Potencijalni uticaj na sigurnost i pogođeni korisnici
  4. Dokaz koncepta - Bilo koji PoC kod ili snimci ekrana
  5. ambijent - Preglednik, OS i ostali relevantni detalji
  6. Vaši kontakt podaci - Kako vas možemo kontaktirati za daljnje informacije

Savjet: Za osjetljive informacije, molimo vas da šifrirate svoju e-poštu koristeći naš PGP ključ.

Vremenski okvir odgovora

1️⃣ Initial Response - U roku od 48 sati od podnošenja izvještaja
2️⃣ Ažuriranje statusa - U roku od 7 dana sa rezultatima trijaže
3️⃣ Vremenski okvir rješavanja - Zavisi od težine (saopštava se nakon trijaže)
4️⃣ objelodanjivanje - Koordinirano otkrivanje nakon implementacije ispravke

Sigurna luka

Smatramo da su sigurnosna istraživanja provedena u skladu s ovom politikom:

  • Ovlašćeno u skladu s važećim zakonima
  • Izuzeti iz ograničenja Uslova korištenja usluge koja bi ometala istraživanje
  • Zakonito i korisno za sigurnost naših sistema

NEĆEMO pokretati pravne postupke protiv istraživača koji:

  • U dobroj vjeri uložite napore kako biste izbjegli kršenja privatnosti i poremećaje
  • Komunicirajte samo s računima koje posjedujete ili uz izričitu dozvolu
  • Ne iskorištavajte ranjivosti izvan okvira provjere koncepta.
  • Odmah prijavite ranjivosti
  • Čuvajte detalje o ranjivostima u tajnosti dok ih ne riješimo

Encryption

Za sigurnu komunikaciju o osjetljivim ranjivostima, molimo vas da koristite naš PGP javni ključ za šifriranje svojih poruka:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Naši ključni detalji:

  • Tip: RSA 4096-bitni
  • Otisak prsta: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Ističe: 2027-10-14

priznanja

Vjerujemo u prepoznavanje istraživača sigurnosti koji nam pomažu da poboljšamo našu sigurnost. Istraživači koji odgovorno otkrivaju ranjivosti mogu biti:

  • Javno navedeno na našoj web stranici (uz dozvolu)
  • Dodano u našu Kuću slavnih sigurnosti
  • Obezbijeđeno uz poklon-paket ili drugo priznanje

Napomena: Trenutno ne nudimo program nagrađivanja za otkrivene greške, ali duboko cijenimo odgovorno otkrivanje i priznat ćemo vaš doprinos.