Наша посвећеност безбедности

Компанија MoneyLead озбиљно схвата безбедност. Ценимо рад истраживача безбедности који нам помажу да заштитимо наше кориснике и побољшамо наше системе. Ова страница описује нашу политику откривања безбедносних рањивости и како одговорно пријављивати безбедносне проблеме.

Обим

У оквиру:

  • moneylead.gg и сви поддомени
  • Све веб апликације намењене јавности
  • Све крајње тачке API-ја
  • Механизми аутентификације и ауторизације
  • Безбедност складиштења и преноса података

Ван домета:

  • Напади социјалног инжењеринга
  • Тестови физичке безбедности
  • Напади ускраћивања услуге (DoS/DDoS)
  • Услуге трећих страна (GitHub, CDN провајдери итд.)
  • Спам или напади на друштвеним мрежама

Како пријавити

Када пријављујете безбедносну рањивост, наведите:

  1. Opis - Јасно објашњење рањивости
  2. Кораци за репродукцију - Детаљни кораци за репродукцију проблема
  3. Утицај - Потенцијални утицај на безбедност и погођени корисници
  4. Доказ концепта - Било који PoC код или снимци екрана
  5. животна средина - Прегледач, ОС и други релевантни детаљи
  6. Ваше контакт информације - Како можемо да вас контактирамо за даље информације

Савет: За осетљиве информације, шифрујте своју е-пошту помоћу нашег PGP кључа.

Временски оквир одговора

1 Инитиал Респонсе - У року од 48 сати од подношења извештаја
2 Ажурирање статуса - У року од 7 дана са резултатима тријаже
3 Временски оквир решавања - Зависи од тежине (саопштава се након тријаже)
4 Обелодањивање - Координирано откривање након што је исправка примењена

Безбедна Лука

Безбедносна истраживања спроведена у складу са овом политиком сматрамо:

  • Овлашћено у складу са важећим законима
  • Изузеће из ограничења Услова коришћења услуга која би ометала истраживање
  • Законито и корисно за безбедност наших система

НЕЋЕМО покретати правне поступке против истраживача који:

  • Уложите труд у доброј вери да избегнете кршење приватности и поремећаје
  • Комуницирајте само са налозима које поседујете или уз изричиту дозволу
  • Не злоупотребљавајте рањивости изван доказивања концепта
  • Одмах пријавите рањивости
  • Чувајте детаље о рањивостима у тајности док их не решимо

Шифровање

За безбедну комуникацију о осетљивим рањивостима, користите наш PGP јавни кључ за шифровање ваших порука:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Наши кључни детаљи:

  • Тип: RSA 4096-битни
  • Отисак прста: 8ББФ 9ЦА4 3Ф44 4Ф46 40Ц1 Е69Б 439Ф ЦА18 БА1А 9БЦЕ
  • Истиче: 2027-10-14

Security.txt

Пратимо РФЦ КСНУМКС стандард за security.txt. Нашу политику безбедности машински читљивих датотека можете пронаћи на:

https://moneylead.gg/.well-known/security.txt

(PGP потписано и у складу са RFC 9116)

priznanja

Верујемо у препознавање истраживача безбедности који нам помажу да побољшамо нашу безбедност. Истраживачи који одговорно откривају рањивости могу бити:

  • Јавно објављено на нашем веб-сајту (уз дозволу)
  • Додато у нашу кућу славних безбедности
  • Обезбеђено уз поклон или друго признање

Напомена: Тренутно не нудимо програм награђивања за грешке, али дубоко ценимо одговорно откривање и захвалићемо се вашем доприносу.