Sitoutumisemme turvallisuuteen

MoneyLead suhtautuu tietoturvaan vakavasti. Arvostamme tietoturvatutkijoiden työtä, joka auttaa meitä suojelemaan käyttäjiämme ja parantamaan järjestelmiämme. Tällä sivulla esitetään tietoturvahaavoittuvuuksien paljastamiskäytäntömme ja kerrotaan, miten tietoturvaongelmista voi ilmoittaa vastuullisesti.

Laajuus

Laajuus:

  • moneylead.gg ja kaikki aliverkkotunnukset
  • Kaikki julkiset verkkosovellukset
  • Kaikki API-päätepisteet
  • Todennus- ja valtuutusmekanismit
  • Tiedontallennuksen ja -siirron turvallisuus

Soveltamisalan ulkopuolella:

  • Sosiaalisen insinöörin hyökkäykset
  • Fyysiset turvallisuustestit
  • Palvelunestohyökkäykset (DoS/DDoS)
  • Kolmannen osapuolen palvelut (GitHub, CDN-palveluntarjoajat jne.)
  • Roskaposti tai sosiaalisen median hyökkäykset

Kuinka raportoida

Kun ilmoitat tietoturvahaavoittuvuudesta, liitä mukaan seuraavat tiedot:

  1. Tuotetiedot - Selkeä selvitys haavoittuvuudesta
  2. Lisääntymisen vaiheet - Yksityiskohtaiset vaiheet ongelman toistamiseksi
  3. Vaikutus - Mahdollinen tietoturvavaikutus ja käyttäjät, joihin asia vaikuttaa
  4. Todistus käsitteestä - Mikä tahansa PoC-koodi tai kuvakaappaukset
  5. ympäristö - Selain, käyttöjärjestelmä ja muut asiaankuuluvat tiedot
  6. Yhteystietosi - Miten voimme tavoittaa sinut jatkotoimia varten

Vihje: Arkaluonteisten tietojen osalta salaa sähköpostisi PGP-avaimellamme.

Vastausaikajana

1️⃣ Alkuperäinen vastaus - 48 tunnin kuluessa raportin jättämisestä
2️⃣ Tila päivitys - 7 päivän kuluessa triage-tulosten kanssa
3️⃣ Resoluutioaikajana - Riippuu vakavuudesta (ilmoitetaan triage-vaiheen jälkeen)
4️⃣ Disclosure - Koordinoitu tiedonanto korjauksen käyttöönoton jälkeen

Safe Harbor

Pidämme tämän käytännön mukaisesti tehtyä tietoturvatutkimusta seuraavana:

  • valtuutettu sovellettavien lakien mukaisesti
  • Vapauttaa käyttöehtojen rajoituksista, jotka häiritsisivät tutkimusta
  • Laillista ja hyödyllisiä järjestelmiemme turvallisuuden kannalta

Emme aio ryhtyä oikeustoimiin tutkijoita vastaan, jotka:

  • Pyri vilpittömästi välttämään yksityisyyden loukkauksia ja häiriöitä
  • Käytä vain tilejä, jotka omistat tai joilla on nimenomainen lupa
  • Älä hyödynnä haavoittuvuuksia konseptin toimivuuden jälkeisissä asioissa
  • Ilmoita haavoittuvuuksista viipymättä
  • Pidä haavoittuvuuksien tiedot luottamuksellisina, kunnes olemme korjanneet ne

Salaus

Jotta arkaluontoisista haavoittuvuuksista voidaan kommunikoida turvallisesti, käytä PGP-julkista avaintamme viestien salaamiseen:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Tärkeimmät tietomme:

  • Tyyppi: RSA 4096-bittinen
  • Sormenjälki: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Erääntyy: 2027-10-14

Security.txt

Seuraamme RFC 9116 security.txt-tiedoston standardi. Löydät koneellisesti luettavasta tietoturvakäytännöstämme osoitteesta:

https://moneylead.gg/.well-known/security.txt

(PGP-allekirjoitettu ja RFC 9116 -yhteensopiva)

Kiitokset

Uskomme tietoturvatutkijoiden, jotka auttavat meitä parantamaan tietoturvaamme, tunnustamiseen. Tutkijoita, jotka vastuullisesti paljastavat haavoittuvuuksia, voivat olla:

  • Julkisesti mainittu verkkosivuillamme (luvalla)
  • Lisätty turvallisuusalan kunniagalleriaamme
  • Tarjotaan swagien tai muun tunnustuksen kera

Huomautus: Emme tällä hetkellä tarjoa bug bounty -ohjelmaa, mutta arvostamme suuresti vastuullista tiedonantoa ja otamme sinuun yhteyttä.