Naša predanost sigurnosti

MoneyLead ozbiljno shvaća sigurnost. Cijenimo rad istraživača sigurnosti koji nam pomažu u zaštiti naših korisnika i poboljšanju naših sustava. Ova stranica opisuje našu politiku otkrivanja sigurnosnih ranjivosti i kako odgovorno prijaviti sigurnosne probleme.

Djelokrug

U opsegu:

  • moneylead.gg i sve poddomene
  • Sve javno dostupne web aplikacije
  • Sve krajnje točke API-ja
  • Mehanizmi provjere autentičnosti i autorizacije
  • Sigurnost pohrane i prijenosa podataka

Izvan dosega:

  • Napadi društvenim inženjeringom
  • Testovi fizičke sigurnosti
  • Napadi uskraćivanja usluge (DoS/DDoS)
  • Usluge trećih strana (GitHub, pružatelji CDN-a itd.)
  • Neželjena pošta ili napadi na društvenim mrežama

Kako prijaviti

Prilikom prijavljivanja sigurnosne ranjivosti, molimo vas da uključite:

  1. Opis - Jasno objašnjenje ranjivosti
  2. Koraci za reprodukciju - Detaljni koraci za reprodukciju problema
  3. Utjecaj - Potencijalni utjecaj na sigurnost i pogođeni korisnici
  4. Dokaz koncepta - Bilo koji PoC kod ili snimke zaslona
  5. okolina - Preglednik, OS i ostali relevantni detalji
  6. Vaš kontakt podaci - Kako vas možemo kontaktirati za daljnje informacije

Savjet: Za osjetljive podatke, molimo vas da šifrirate svoju e-poštu pomoću našeg PGP ključa.

Vremenski okvir odgovora

1️⃣ Početni odgovor - U roku od 48 sati od podnošenja izvješća
2️⃣ Ažuriranje statusa - U roku od 7 dana s rezultatima trijaže
3️⃣ Vremenska traka rješenja - Ovisi o težini (priopćava se nakon trijaže)
4️⃣ Razotkrivanje - Koordinirano otkrivanje nakon implementacije ispravka

Sigurna luka

Smatramo da su sigurnosna istraživanja provedena u skladu s ovom politikom:

  • odobren u skladu s važećim zakonima
  • oslobođen iz ograničenja Uvjeta pružanja usluge koja bi ometala istraživanje
  • Zakonito i korisno za sigurnost naših sustava

NEĆEMO pokretati pravne postupke protiv istraživača koji:

  • U dobroj vjeri uložite napore kako biste izbjegli kršenja privatnosti i poremećaje
  • Komunicirajte samo s računima koje posjedujete ili uz izričito dopuštenje
  • Ne iskorištavajte ranjivosti izvan okvira provjere koncepta.
  • Odmah prijavite ranjivosti
  • Čuvajte detalje o ranjivostima u tajnosti dok ih ne riješimo

Šifriranje

Za sigurnu komunikaciju o osjetljivim ranjivostima, molimo vas da koristite naš PGP javni ključ za šifriranje svojih poruka:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Naši ključni detalji:

  • Tip: RSA 4096-bitni
  • Otisak prsta: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • ističe: 2027-10-14

Zahvale

Vjerujemo u prepoznavanje istraživača sigurnosti koji nam pomažu poboljšati našu sigurnost. Istraživači koji odgovorno otkrivaju ranjivosti mogu biti:

  • Javno navedeno na našoj web stranici (uz dopuštenje)
  • Dodano u našu sigurnosnu kuću slavnih
  • Uz poklon-paket ili drugo priznanje

Napomena: Trenutno ne nudimo program nagrađivanja za otkrivene greške, ali duboko cijenimo odgovorno otkrivanje i zahvalit ćemo se na vašem doprinosu.