Angazhimi ynë për sigurinë

MoneyLead e merr seriozisht sigurinë. Ne e vlerësojmë punën e studiuesve të sigurisë që na ndihmojnë të mbrojmë përdoruesit tanë dhe të përmirësojmë sistemet tona. Kjo faqe përshkruan politikën tonë të zbulimit të dobësive të sigurisë dhe mënyrën e raportimit të problemeve të sigurisë në mënyrë të përgjegjshme.

Fusha

Në Fushëveprim:

  • moneylead.gg dhe të gjitha nën-domenet
  • Të gjitha aplikacionet e internetit të përballueshme për publikun
  • Të gjitha pikat fundore të API-t
  • Mekanizmat e vërtetimit dhe autorizimit
  • Siguria e ruajtjes dhe transmetimit të të dhënave

Jashtë fushëveprimit:

  • Sulmet e inxhinierisë sociale
  • Testet e sigurisë fizike
  • Sulme të Mohimit të Shërbimit (DoS/DDoS)
  • Shërbime të palëve të treta (GitHub, ofruesit e CDN, etj.)
  • Sulme me spam ose në rrjetet sociale

Si të raportoni

Kur raportoni një dobësi sigurie, ju lutemi të përfshini:

  1. Përshkrim - Shpjegim i qartë i cenueshmërisë
  2. Hapat për të riprodhuar - Hapa të detajuar për të riprodhuar problemin
  3. ndikim - Ndikim i mundshëm në siguri dhe përdoruesit e prekur
  4. Dëshmi e konceptit - Çdo kod PoC ose pamje të ekranit
  5. mjedis - Shfletuesi, sistemi operativ dhe detaje të tjera përkatëse
  6. Informacioni juaj i kontaktit - Si mund t'ju kontaktojmë për informacion të mëtejshëm

Këshillë: Për informacione të ndjeshme, ju lutemi enkriptoni email-in tuaj duke përdorur çelësin tonë PGP.

Afati kohor i përgjigjes

1️⃣ Përgjigja fillestare - Brenda 48 orëve nga paraqitja e raportit
2️⃣ Përditësimi i statusit - Brenda 7 ditëve me rezultatet e triazhit
3️⃣ Afati kohor i rezolutës - Varet nga ashpërsia (komunikohet pas triazhit)
4️⃣ Zbulim - Zbulim i koordinuar pas vendosjes së rregullimit

Safe Harbour

Ne e konsiderojmë hulumtimin e sigurisë të kryer në përputhje me këtë politikë si:

  • i autorizuar në përputhje me ligjet në fuqi
  • përjashtohen nga kufizimet e Kushteve të Shërbimit që do të ndërhynin në kërkim
  • E ligjshme dhe të dobishme për sigurinë e sistemeve tona

Ne NUK do të ndjekim veprime ligjore kundër studiuesve të cilët:

  • Bëni një përpjekje me mirëbesim për të shmangur shkeljet dhe ndërprerjet e privatësisë
  • Ndërveproni vetëm me llogaritë që zotëroni ose me leje të qartë
  • Mos i shfrytëzoni dobësitë përtej provës së konceptit
  • Raportoni menjëherë dobësitë
  • Mbajini detajet e cenueshmërisë konfidenciale derisa t'i adresojmë ato

Encryption

Për komunikim të sigurt në lidhje me dobësitë e ndjeshme, ju lutemi përdorni çelësin tonë publik PGP për të enkriptuar mesazhet tuaja:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Detajet tona kryesore:

  • Lloji: RSA 4096-bit
  • Gjurma e gishtit: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • skadon: 2027-10-14

Mirënjohje

Ne besojmë në njohjen e studiuesve të sigurisë që na ndihmojnë të përmirësojmë sigurinë tonë. Studiuesit që zbulojnë me përgjegjësi dobësitë mund të jenë:

  • Publikisht i njohur në faqen tonë të internetit (me leje)
  • Shtuar në sallën tonë të famës së sigurisë
  • I pajisur me swag ose njohje tjetër

Shënim: Aktualisht nuk ofrojmë një program shpërblimi për defekte, por e vlerësojmë thellësisht zbulimin e përgjegjshëm dhe do t'i pranojmë kontributet tuaja.