Mūsų įsipareigojimas saugumui

„MoneyLead“ rimtai žiūri į saugumą. Vertiname saugumo tyrėjų, kurie padeda mums apsaugoti naudotojus ir tobulinti sistemas, darbą. Šiame puslapyje aprašoma mūsų saugumo pažeidžiamumų atskleidimo politika ir kaip atsakingai pranešti apie saugumo problemas.

Apimtis

Taikymo sritis:

  • moneylead.gg ir visi subdomenai
  • Visos viešai prieinamos žiniatinklio programos
  • Visi API galiniai taškai
  • Autentifikavimo ir autorizacijos mechanizmai
  • Duomenų saugojimo ir perdavimo saugumas

Už taikymo srities ribų:

  • Socialinės inžinerijos atakos
  • Fizinio saugumo bandymai
  • Paslaugų teikimo trikdymo (DoS/DDoS) atakos
  • Trečiųjų šalių paslaugos („GitHub“, CDN teikėjai ir kt.)
  • Šlamštas arba socialinių tinklų atakos

Kaip pranešti

Pranešdami apie saugumo pažeidžiamumą, pateikite:

  1. Aprašymas - Aiškus pažeidžiamumo paaiškinimas
  2. Žingsniai atkūrimui - Išsamūs veiksmai problemai atkurti
  3. poveikis - Galimas poveikis saugumui ir paveikti naudotojai
  4. Įrodymas koncepcija - Bet koks PoC kodas arba ekrano kopijos
  5. aplinka - Naršyklė, OS ir kita svarbi informacija
  6. Jūsų kontaktinė informacija - Kaip galime su jumis susisiekti dėl tolesnių veiksmų

Patarimas: Jei norite perduoti neskelbtiną informaciją, prašome užšifruoti el. laiškus naudodami mūsų PGP raktą.

Atsakymo laiko juosta

1️⃣ Pradinis atsakymas – Per 48 valandas nuo ataskaitos pateikimo
2️⃣ Būsenos atnaujinimas - Per 7 dienas su triažo rezultatais
3️⃣ Rezoliucijos laiko juosta - Priklauso nuo sunkumo (pranešama po triažo)
4️⃣ atskleidimas - Koordinuotas atskleidimas įdiegus pataisą

"Safe Harbor"

Mes laikome, kad pagal šią politiką atliekami saugumo tyrimai yra:

  • Įgaliotas pagal galiojančius įstatymus
  • Atleidžiama dėl paslaugų teikimo sąlygų apribojimų, kurie trukdytų tyrimams
  • Teisėtas ir naudinga mūsų sistemų saugumui

Mes NETRĖMĖMĖSIME teisinių veiksmų prieš tyrėjus, kurie:

  • Sąžiningai stenkitės išvengti privatumo pažeidimų ir trikdžių
  • Bendraukite tik su tomis paskyromis, kurios jums priklauso arba kurioms turite aiškų leidimą
  • Neišnaudokite pažeidžiamumų, kurie netelpa į koncepcijos įrodymą
  • Nedelsdami praneškite apie pažeidžiamumus
  • Laikyti pažeidžiamumo informaciją konfidencialia, kol mes ją išspręsime

Šifravimas

Norėdami saugiai bendrauti apie jautrius pažeidžiamumus, naudokite mūsų PGP viešąjį raktą, kad užšifruotumėte savo pranešimus:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Mūsų svarbiausios detalės:

  • Tipas: RSA 4096 bitų
  • Piršto antspaudas: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Galioja: 2027-10-14

Padėka

Tikime, kad reikia pripažinti saugumo tyrėjus, kurie padeda mums tobulinti mūsų saugumą. Tyrėjai, kurie atsakingai atskleidžia pažeidžiamumus, gali būti:

  • Viešai pripažinta mūsų svetainėje (su leidimu)
  • Įtraukta į mūsų saugumo šlovės muziejų
  • Pateikiami suvenyrai ar kitas pripažinimas

Pastaba: šiuo metu nesiūlome klaidų atlygio programos, tačiau labai vertiname atsakingą informacijos atskleidimą ir įvertinsime jūsų indėlį.