Polisi Pendedahan Kerentanan

1. Pengenalan

Trading Point Group (kemudian daripada ini dirujuk sebagai "Trading Point") mengiktiraf keperluan untuk berhubung dengan komuniti keselamatan siber bagi melindungi data pelanggan dan bekerjasama dalam membangunkan penyelesaian dan aplikasi yang lebih selamat. Polisi ini bertujuan untuk memberikan garis panduan yang jelas kepada penyelidik keselamatan bagi menjalankan aktiviti penemuan kerentanan, dan juga menerangkan cara untuk mengemukakan kerentanan yang ditemui kepada pihak kami.

Para penyelidik digalakkan untuk melaporkan sebarang kerentanan yang ditemui yang berkaitan dengan sistem Trading Point secara sukarela. Polisi ini menghuraikan sistem dan jenis penyelidikan yang dilindungi di bawah polisi ini, serta cara untuk mengemukakan laporan kerentanan kepada kami.

Penyerahan laporan kerentanan adalah tertakluk pada terma dan syarat yang ditetapkan pada halaman ini. Dengan menyerahkan laporan kerentanan kepada Trading Point, penyelidik mengakui bahawa mereka telah membaca dan bersetuju dengan terma dan syarat yang berkaitan.

2. Terma dan Syarat

2.1. Pelabuhan Selamat / Kebenaran

Apabila menjalankan penyelidikan kerentanan, dan menunjukkan kejujuran untuk mematuhi polisi ini, kami menganggap penyelidikan anda sebagai:

  • Diberi kuasa berkenaan dengan mana-mana perundangan anti-penggodaman yang berkaitan, dan kami tidak akan mengesyorkan atau meneruskan tindakan undang-undang terhadap anda untuk penyelidikan anda.

  • Diberi kuasa dengan mana-mana perundangan anti-pemintasan yang berkaitan, dan kami tidak akan memfailkan tuntutan terhadap anda untuk memintas kawalan teknologi.

  • Sah di sisi undang-undang, membantu keselamatan keseluruhan Internet dan dijalankan dengan jujur.

Anda dijangka untuk mematuhi semua undang-undang yang berkenaan. Kami akan mendedahkan kebenaran anda, selaras dengan polisi ini, jika pihak ketiga memfailkan tuntutan mahkamah terhadap anda untuk sebarang aktiviti yang dijalankan dengan jujur.

Sekiranya anda mengalami kekeliruan atau tidak pasti jika penyelidikan keselamatan anda mematuhi polisi ini, sila serahkan laporan melalui salah satu saluran rasmi kami (seperti yang dinyatakan di bawah) sebelum meneruskan dengan lebih jauh.

Harap maklum bahawa pelabuhan selamat hanya terpakai kepada tuntutan undang-undang di bawah kawalan organisasi yang mengambil bahagian dalam polisi ini, dan polisi tidak mengikat pihak ketiga yang bebas.

2.2. Garis panduan

”Penyelidikan”, seperti yang digunakan dalam polisi ini, merujuk kepada aktiviti berikut:

  • Memaklumkan kepada kami secepat mungkin, jika anda menemui isu keselamatan yang sebenar atau berpotensi.

  • Berusaha untuk mengelakkan pelanggaran privasi, kemerosotan pengalaman pengguna, gangguan sistem pengeluaran dan pemusnahan, atau manipulasi data.

  • Hanya menggunakan eksploitasi setakat yang diperlukan untuk mengesahkan kewujudan kerentanan. Anda tidak seharusnya menggunakan eksploitasi untuk berkompromi atau mencuri data, mewujudkan akses baris arahan yang berterusan atau berputar ke sistem yang berbeza.

Anda juga diminta untuk:

  • Bermain mengikut peraturan, dengan mematuhi polisi ini dan mana-mana perjanjian lain yang berkaitan. Jika terdapat sebarang percanggahan antara polisi ini dan mana-mana syarat lain yang berkenaan, syarat polisi ini akan diutamakan.

  • Berinteraksi menggunakan akaun ujian peribadi anda sahaja.

  • Membuka maksimum dua (2) akaun untuk menjalani sebarang ujian.

  • Menggunakan saluran rasmi untuk mendedahkan dan/atau membincangkan butiran kerentanan bersama kami.

  • Menyerahkan satu kerentanan bagi setiap laporan, melainkan anda perlu merantai kerentanan untuk menunjukkan kesannya.

  • Menghapuskan semua data yang diperoleh semasa menjalankan penyelidikan dengan selamat, sebaik sahaja laporan diserahkan.

  • Melakukan ujian pada sistem dalam skop semata-mata, dan menghormati sistem dan aktiviti yang berada di luar skop.

  • Mengelakkan penggunaan alat invasif atau pengimbasan automatik yang berintesiti tinggi untuk mengesan kerentanan.

  • Tidak mendedahkan sebarang kerentanan secara terbuka tanpa kebenaran bertulis Trading Point terlebih dahulu.

  • Tidak melakukan sebarang serangan "penafian-perkhidmatan".

  • Tidak melakukan serangan kejuruteraan sosial dan/atau keselamatan fizikal terhadap pejabat, pengguna atau pekerja Trading Point.

  • Tidak mengautomasikan atau menguji skrip borang web, terutamanya borang "Hubungi Kami" yang direka khas untuk pelanggan berhubung dengan pasukan pengalaman pelanggan kami.

Sebaik sahaja anda mengesahkan kewujudan kerentanan atau secara tidak sengaja menemui sebarang data sensitif (cth. maklumat pengenalan peribadi (PII), maklumat kewangan, maklumat proprietari atau rahsia dagangan mana-mana pihak) secara tidak sengaja, anda mesti menghentikan ujian anda, memaklumkan kepada pihak kami dengan segera, dan tidak mendedahkan data tersebut kepada mana-mana individu. Selain itu, anda juga perlu mengehadkan akses anda kepada data minimum yang diperlukan untuk membuktikan konsep dengan berkesan.

2.3. Melaporkan Kerentanan / Saluran Rasmi

Sila laporkan isu keselamatan/penemuan kerentanan sebenar atau berpotensi melalui vulnerability.disclosure@xmglobal.com, dengan memberikan segala maklumat yang berkaitan. Lebih banyak maklumat yang anda berikan, lebih mudah bagi kami untuk menilai dan menyelesaikan isu tersebut.

Jika anda ingin membantu kami menyaring dan mengutamakan penyerahan anda dengan berkesan, kami mengesyorkan agar laporan anda:

  • Menerangkan lokasi atau laluan aplikasi untuk kerentanan yang ditemui, dan potensi kesan eksploitasi.

  • Memberikan butiran terperinci tentang langkah yang diperlukan untuk menghasilkan semula kerentanan (pembuktian konsep skrip atau tangkap layar boleh membantu).

  • Menyediakan seberapa banyak butiran yang mungkin.

  • Memberikan alamat IP yang digunakan untuk menguji, alamat e-mel, ejen pengguna dan nama pengguna yang digunakan pada platform dagangan (jika ada).

  • Menyerahkan laporan anda dalam bahasa Inggeris, jika boleh.

Jika anda mendapati kerentanan yang serius atau mengandungi maklumat sensitif, anda boleh menghantar e-mel tersulit PGP kepada pasukan kami menggunakan kunci PGP kami.

2.4. Skop

a) Sistem/Perkhidmatan Dalam Skop

Domain

https://www.xm.comhttps://my.xm.com

Aplikasi Android

Aplikasi Android XM (com.xm.webapp)

Aplikasi iOS

Aplikasi iOS XM (id1072084799)

b) Sistem/Perkhidmatan Luar Skop

Mana-mana perkhidmatan (cth. perkhidmatan bersambung), sistem atau domain yang tidak disenaraikan secara khusus dalam bahagian "Sistem/Perkhidmatan Dalam Skop" di atas, adalah dikecualikan daripada skop dan tidak dibenarkan untuk diuji. Selain itu, kerentanan yang ditemui dalam sistem daripada vendor kami tidak termasuk dalam skop polisi ini dan harus dilaporkan terus kepada vendor mengikut polisi pendedahan mereka (jika ada). Jika anda tidak pasti sama ada sesuatu sistem termasuk dalam skop atau tidak, sila hubungi kami melalui vulnerability.disclosure@xmglobal.com.

c) Kerentanan Dalam Skop

  • Suntikan SQL

  • Skrip Silang Tapak (XSS)

  • Pelaksanaan Kod Jauh (RCE)

  • Pemalsuan Permintaan Sisi Pelayan (SSRF)

  • Pengesahan dan pengurusan sesi yang rosak

  • Rujukan Objek Langsung Tidak Selamat (IDOR)

  • Pendedahan data yang sensitif

  • Penyusuran direktori/laluan

  • Rangkuman fail tempatan/jauh

  • Pemalsuan Permintaan Silang Tapak (CSRF) dengan impak tinggi yang boleh ditunjukkan

  • Buka lencongan pada parameter sensitif

  • Pengambilalihan subdomain (untuk pengambilalihan subdomain, tambahkan mesej mesra seperti: "Kami sedang mengusahakannya, dan kami akan kembali sebentar lagi.")

d) Kerentanan Luar Skop

Program Pendedahan Kerentanan mengecualikan beberapa kerentanan daripada skop mereka. Kerentanan di luar skop tersebut adalah, tetapi tidak terhad kepada:

  • Isu konfigurasi mel seperti tetapan SPF (Rangka Kerja Dasar Pengirim), DKIM (Mel Dikenal Pasti DomainKeys), DMARC (Pengesahan, Pelaporan & Pematuhan Mesej Berasaskan Domain)

  • Kerentanan klikjack yang tidak mengakibatkan tindakan sensitif (cth. pengubahsuaian akaun)

  • XSS-sendiri (cth. pengguna perlu ditipu untuk menampal kod ke dalam penyemak imbas web mereka)

  • Penipuan kandungan dengan impak minimum (cth. suntikan teks bukan HTML)

  • Pemalsuan Permintaan Silang Tapak (CSRF) dengan impak minimum (cth. CSRF dalam borang log masuk atau log keluar)

  • Buka lencongan, melainkan kesan keselamatan tambahan boleh ditunjukkan

  • Serangan CRLF (Suapan Talian dan Pemulangan Pengangkutan) dengan impak minimum

  • Suntikan kepala hos dengan impak minimum

  • Kuki tidak sensitif tidak mempunyai penanda HttpOnly atau Secure

  • Tiada amalan terbaik dalam konfigurasi SSL/TLS (Lapisan Soket Selamat/Keselamatan Lapisan Pengangkutan) dan sifer

  • Tiada atau salah konfigurasi kepala keselamatan HTTP (cth. CSP (Dasar Keselamatan Kandungan), HSTS (Keselamatan Pengangkutan Ketat HTTP))

  • Borang tanpa kawalan Captcha

  • Penghitungan nama pengguna/e-mel melalui mesej ralat Halaman Log Masuk

  • Penghitungan nama pengguna/e-mel melalui mesej ralat Lupa Kata Laluan

  • Isu yang memerlukan penglibatan pengguna yang mustahil

  • Kerumitan kata laluan atau sebarang isu lain yang berkaitan dengan polisi akaun atau kata laluan

  • Kekurangan masa tamat sesi

  • Serangan daya keras

  • Isu had kadar untuk tindakan yang tidak kritikal

  • Kerentanan WordPress tanpa bukti keboleheksploitan

  • Pendedahan versi perisian yang rentan tanpa bukti keboleheksploitan

  • Sebarang aktiviti yang boleh menyebabkan perkhidmatan kami terganggu (DoS)

  • Perlindungan root tidak mencukupi atau dipintas (aplikasi mudah alih)

  • Penyematan sijil SSL tidak mencukupi atau dipintas (aplikasi mudah alih)

  • Kekurangan pengeliruan kod (aplikasi mudah alih)

2.5. Masa Tindak Balas

Trading Point komited untuk berkomunikasi dengan anda secara terbuka dan segera, serta berusaha sebaik mungkin untuk memenuhi sasaran tindak balas berikut, demi membantu penyelidik yang mengambil bahagian dalam program kami:

  • Maklum balas pertama akan mengambil masa selama tiga (3) hari perniagaan, bermula dari hari penyerahan laporan. Kami juga akan mengakui penerimaan laporan anda dalam tempoh masa tiga hari perniagaan tersebut.

  • Saringan akan mengambil masa selama lima (5) hari perniagaan selepas laporan diserahkan.

Kami akan, dengan kemampuan kami yang terbaik, mengesahkan kewujudan kerentanan kepada anda dan bersikap sejujur mungkin tentang langkah yang diambil semasa proses pemulihan, serta isu atau cabaran yang mungkin melengahkan penyelesaian. Kami akan berusaha untuk memastikan anda menerima maklumat terkini tentang kemajuan kami sepanjang proses berkenaan.

3. Ganjaran

Kami menghargai setiap individu yang meluangkan masa dan berusaha untuk melaporkan kerentanan keselamatan mengikut polisi ini. Walau bagaimanapun, kami tidak menyediakan sebarang insentif kepada mereka yang mendedahkan kerentanan pada masa ini. Perkara ini tertakluk kepada perubahan masa hadapan.

4. Maklum Balas

Jika anda ingin memberikan maklum balas atau cadangan mengenai polisi ini, sila hubungi kami melalui vulnerability.disclosure@xmglobal.com.

Terima kasih kerana membantu melindungi Trading Point dan pengguna kami.

5. Kunci cetak jari PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Muat turun kunci PGP Pendedahan Kerentanan Trading Point

Nota: Sila sulitkan mesej anda menggunakan kunci PGP di atas dan sertakan kunci awam anda sendiri dalam e-mel yang sama.

Kekal berhubung pada bila-bila masa, di mana-mana sahaja.

Polisi Privasi Polisi Kuki Polisi Kerentanan Terma dan Syarat
Perundangan: Laman web ini dikendalikan oleh XM Global Limited, beralamat di Suite 101, 63 Eve Street, Belize City, Belize.
XM Global Limited didaftarkan oleh Suruhanjaya Perkhidmatan Kewangan (FSC) di bawah Akta Industri Sekuriti 2021 (nombor lesen: 000261/4), manakala Trading Point of Financial Instruments Limited diluluskan dan dikawal selia oleh Suruhanjaya Sekuriti dan Bursa Cyprus (CySEC) (nombor lesen: 120/10), dan merupakan ahli Trading Point Group.
Amaran Risiko: Perkhidmatan kami berisiko tinggi dan boleh menyebabkan kerugian modal yang anda laburkan. Sila baca dan fahami sepenuhnya Pendedahahan Risiko kami.
Kawasan Terhad: XM Global Limited tidak menyediakan perkhidmatan kepada penduduk bagi sesetengah negara, seperti Amerika Syarikat, Kanada, Argentina, Israel dan Republik Islam Iran.
XM tidak bercadang untuk mendedahkan laman web dan perkhidmatannya kepada individu di mana-mana negara yang penggunaan laman web dan perkhidmatannya dilarang oleh undang-undang atau peraturan tempatan. Apabila pengguna mengakses laman web ini dari negara yang penggunaannya mungkin dilarang atau tidak, adalah menjadi tanggungjawab pengguna untuk memastikan bahawa sebarang penggunaan laman web atau perkhidmatan mematuhi undang-undang atau peraturan tempatan yang berkaitan. XM tidak menyatakan bahawa maklumat di laman web ini adalah sesuai untuk semua bidang kuasa.
/ng-public/assets/img/certifications/metaquotes.svg/ng-public/assets/img/certifications/verisign.svg/ng-public/assets/img/certifications/unicef.svg/ng-public/assets/img/certifications/investors-in-people.svg
/ng-public/assets/img/certifications/fortune-best-100-companies-europe.svg/ng-public/assets/img/certifications/bw-cyprus-2024.svg/ng-public/assets/img/certifications/bw-hellas-2024.svg/ng-public/assets/img/certifications/bw-hellas-tech-2024.svg/ng-public/assets/img/certifications/bw-cyprus-women-2024.svg