XM tidak menyediakan perkhidmatan kepada penduduk Amerika Syarikat.
Trading Point Group (kemudian daripada ini dirujuk sebagai “Trading Point”) memahami keperluan untuk bekerjasama dengan komuniti keselamatan siber untuk melindungi data pelanggan, dan membangunkan penyelesaian dan aplikasi yang lebih selamat. Polisi ini bertujuan untuk menyediakan garis panduan yang jelas kepada penyelidik keselamatan bagi melaksanakan aktiviti penemuan kerentanan, di samping menerangkan cara menyerahkan kerentanan yang ditemui kepada pihak kami.
Para penyelidik digalakkan untuk melaporkan sebarang kerentanan yang ditemui dan berkaitan dengan sistem Trading Point secara sukarela. Polisi ini menggariskan sistem dan jenis penyelidikan yang dilindungi di bawah polisi ini, serta cara untuk menyerahkan laporan kerentanan kepada kami.
Penyerahan laporan kerentanan adalah tertakluk pada terma dan syarat yang ditetapkan pada halaman ini. Dengan menyerahkan laporan kerentanan kepada Trading Point, penyelidik mengakui bahawa mereka telah membaca dan bersetuju dengan terma dan syarat yang berkaitan.
Apabila menjalankan penyelidikan kerentanan, dan menunjukkan kejujuran untuk mematuhi polisi ini, kami menganggap penyelidikan anda sebagai:
Diberi kuasa berkenaan dengan mana-mana perundangan anti-penggodaman yang berkaitan, dan kami tidak akan mengesyorkan atau meneruskan tindakan undang-undang terhadap anda untuk penyelidikan anda.
Diberi kuasa dengan mana-mana perundangan anti-pemintasan yang berkaitan, dan kami tidak akan memfailkan tuntutan terhadap anda untuk memintas kawalan teknologi.
Sah di sisi undang-undang, membantu keselamatan keseluruhan Internet dan dijalankan dengan jujur.
Anda dijangka untuk mematuhi semua undang-undang yang berkenaan. Kami akan mendedahkan kebenaran anda, selaras dengan polisi ini, jika pihak ketiga memfailkan tuntutan mahkamah terhadap anda untuk sebarang aktiviti yang dijalankan dengan jujur.
Sekiranya anda mengalami kekeliruan atau tidak pasti jika penyelidikan keselamatan anda mematuhi polisi ini, sila serahkan laporan melalui salah satu saluran rasmi kami (seperti yang dinyatakan di bawah) sebelum meneruskan dengan lebih jauh.
Harap maklum bahawa pelabuhan selamat hanya terpakai kepada tuntutan undang-undang di bawah kawalan organisasi yang mengambil bahagian dalam polisi ini, dan polisi tidak mengikat pihak ketiga yang bebas.
”Penyelidikan”, seperti yang digunakan dalam polisi ini, merujuk kepada aktiviti berikut:
Memaklumkan kepada kami secepat mungkin, jika anda menemui isu keselamatan yang sebenar atau berpotensi.
Berusaha untuk mengelakkan pelanggaran privasi, kemerosotan pengalaman pengguna, gangguan sistem pengeluaran dan pemusnahan, atau manipulasi data.
Hanya menggunakan eksploitasi setakat yang diperlukan untuk mengesahkan kewujudan kerentanan. Anda tidak seharusnya menggunakan eksploitasi untuk berkompromi atau mencuri data, mewujudkan akses baris arahan yang berterusan atau berputar ke sistem yang berbeza.
Anda juga diminta untuk:
Bermain mengikut peraturan, dengan mematuhi polisi ini dan mana-mana perjanjian lain yang berkaitan. Jika terdapat sebarang percanggahan antara polisi ini dan mana-mana syarat lain yang berkenaan, syarat polisi ini akan diutamakan.
Berinteraksi menggunakan akaun ujian peribadi anda sahaja.
Membuka maksimum dua (2) akaun untuk menjalani sebarang ujian.
Menggunakan saluran rasmi untuk mendedahkan dan/atau membincangkan butiran kerentanan bersama kami.
Menyerahkan satu kerentanan bagi setiap laporan, melainkan anda perlu merantai kerentanan untuk menunjukkan kesannya.
Menghapuskan semua data yang diperoleh semasa menjalankan penyelidikan dengan selamat, sebaik sahaja laporan diserahkan.
Melakukan ujian pada sistem dalam skop semata-mata, dan menghormati sistem dan aktiviti yang berada di luar skop.
Mengelakkan penggunaan alat invasif atau pengimbasan automatik yang berintesiti tinggi untuk mengesan kerentanan.
Tidak mendedahkan sebarang kerentanan secara terbuka tanpa kebenaran bertulis Trading Point terlebih dahulu.
Tidak melakukan sebarang serangan "penafian-perkhidmatan".
Tidak melakukan serangan kejuruteraan sosial dan/atau keselamatan fizikal terhadap pejabat, pengguna atau pekerja Trading Point.
Tidak mengautomasikan atau menguji skrip borang web, terutamanya borang "Hubungi Kami" yang direka khas untuk pelanggan berhubung dengan pasukan pengalaman pelanggan kami.
Sebaik sahaja anda mengesahkan kewujudan kerentanan atau menemui sebarang data sensitif (cth. maklumat pengenalan peribadi (PII), maklumat kewangan, maklumat proprietasi atau rahsia dagangan mana-mana pihak) secara tidak sengaja, anda mesti menghentikan ujian anda, memaklumkan kepada pihak kami dengan segera, dan tidak mendedahkan data tersebut kepada mana-mana individu. Selain itu, anda harus mengehadkan akses terhadap data minimum yang diperlukan untuk menunjukkan bukti konsep dengan berkesan.
Sila laporkan isu keselamatan / penemuan kerentanan sebenar atau berpotensi menerusi alamat vulnerability.disclosure@xmglobal.com, dengan memberikan segala maklumat yang berkaitan. Lebih banyak maklumat yang diberikan, lebih mudah untuk pihak kami menyaring dan menyelesaikan isu tersebut.
Jika anda ingin membantu kami menyaring dan mengutamakan penyerahan anda dengan berkesan, kami mengesyorkan agar laporan anda:
Menerangkan lokasi atau laluan aplikasi untuk kerentanan yang ditemui, dan potensi kesan eksploitasi.
Memberikan butiran terperinci tentang langkah yang diperlukan untuk menghasilkan semula kerentanan (pembuktian konsep skrip atau tangkap layar boleh membantu).
Menyediakan seberapa banyak butiran yang mungkin.
Memberikan alamat IP yang digunakan untuk menguji, alamat e-mel, ejen pengguna dan nama pengguna yang digunakan pada platform dagangan (jika ada).
Menyerahkan laporan anda dalam bahasa Inggeris, jika boleh.
Jika anda mendapati kerentanan yang serius atau mengandungi maklumat sensitif, anda boleh menghantar e-mel tersulit PGP kepada pasukan kami menggunakan kunci PGP kami.
Domain | Aplikasi Android | Aplikasi iOS |
---|---|---|
Aplikasi Android XM (com.xm.webapp) |
Aplikasi iOS XM (id1072084799) |
Mana-mana perkhidmatan (cth. perkhidmatan bersambung), sistem atau domain yang tidak disenaraikan secara jelas dalam bahagian "Sistem/Perkhidmatan Dalam Skop" di atas, adalah dikecualikan daripada skop dan tidak dibenarkan untuk sebarang ujian. Selain itu, kerentanan yang ditemui dalam sistem daripada vendor kami berada di luar skop polisi ini; dan anda harus langsung melaporkan kepada vendor berkenaan, mengikut polisi pendedahan mereka (jika ada). Jika anda tidak pasti sama ada sesuatu sistem berada di dalam atau luar skop, anda boleh menghubungi kami menerusi vulnerability.disclosure@xmglobal.com.
Suntikan SQL
Skrip Silang Tapak (XSS)
Pelaksanaan Kod Jauh (RCE)
Pemalsuan Permintaan Sisi Pelayan (SSRF)
Pengesahan dan pengurusan sesi yang rosak
Rujukan Objek Langsung Tidak Selamat (IDOR)
Pendedahan data yang sensitif
Penyusuran direktori/laluan
Rangkuman fail tempatan/jauh
Pemalsuan Permintaan Silang Tapak (CSRF) dengan impak tinggi yang boleh ditunjukkan
Buka lencongan pada parameter sensitif
Pengambilalihan subdomain (untuk pengambilalihan subdomain, tambahkan mesej mesra seperti: "Kami sedang mengusahakannya, dan kami akan kembali sebentar lagi.")
Program Pendedahan Kerentanan mengecualikan beberapa kerentanan daripada skop mereka. Kerentanan di luar skop tersebut adalah, tetapi tidak terhad kepada:
Isu konfigurasi mel seperti tetapan SPF (Rangka Kerja Dasar Pengirim), DKIM (Mel Dikenal Pasti DomainKeys), DMARC (Pengesahan, Pelaporan & Pematuhan Mesej Berasaskan Domain)
Kerentanan klikjack yang tidak mengakibatkan tindakan sensitif (cth. pengubahsuaian akaun)
XSS-sendiri (cth. pengguna perlu ditipu untuk menampal kod ke dalam penyemak imbas web mereka)
Penipuan kandungan dengan impak minimum (cth. suntikan teks bukan HTML)
Pemalsuan Permintaan Silang Tapak (CSRF) dengan impak minimum (cth. CSRF dalam borang log masuk atau log keluar)
Buka lencongan, melainkan kesan keselamatan tambahan boleh ditunjukkan
Serangan CRLF (Suapan Talian dan Pemulangan Pengangkutan) dengan impak minimum
Suntikan kepala hos dengan impak minimum
Tiada bendera HttpOnly atau Secure pada kuki tidak sensitif
Tiada amalan terbaik dalam konfigurasi SSL/TLS (Lapisan Soket Selamat/Keselamatan Lapisan Pengangkutan) dan sifer
Tiada atau salah konfigurasi kepala keselamatan HTTP (cth. CSP (Dasar Keselamatan Kandungan), HSTS (Keselamatan Pengangkutan Ketat HTTP))
Borang tanpa kawalan Captcha
Penghitungan nama pengguna/e-mel melalui mesej ralat Halaman Log Masuk
Penghitungan nama pengguna/e-mel melalui mesej ralat Lupa Kata Laluan
Isu yang memerlukan penglibatan pengguna yang mustahil
Kerumitan kata laluan atau sebarang isu lain yang berkaitan dengan polisi akaun atau kata laluan
Kekurangan masa tamat sesi
Serangan daya keras
Isu had kadar untuk tindakan yang tidak kritikal
Kerentanan WordPress tanpa bukti keboleheksploitan
Pendedahan versi perisian yang rentan tanpa bukti keboleheksploitan
Sebarang aktiviti yang boleh menyebabkan perkhidmatan kami terganggu (DoS)
Perlindungan root tidak mencukupi atau dipintas (aplikasi mudah alih)
Penyematan sijil SSL tidak mencukupi atau dipintas (aplikasi mudah alih)
Kekurangan pengeliruan kod (aplikasi mudah alih)
Trading Point komited untuk berkomunikasi dengan anda secara terbuka dan segera, serta berusaha sebaik mungkin untuk memenuhi sasaran tindak balas berikut, demi membantu penyelidik yang mengambil bahagian dalam program kami:
Maklum balas pertama akan mengambil masa selama tiga (3) hari perniagaan, bermula dari hari penyerahan laporan. Kami juga akan mengakui penerimaan laporan anda dalam tempoh masa tiga hari perniagaan tersebut.
Saringan akan mengambil masa selama lima (5) hari perniagaan selepas laporan diserahkan.
Kami akan, dengan kemampuan kami yang terbaik, mengesahkan kewujudan kerentanan kepada anda dan bersikap sejujur mungkin tentang langkah yang diambil semasa proses pemulihan, serta isu atau cabaran yang mungkin melengahkan penyelesaian. Kami akan berusaha untuk memastikan anda menerima maklumat terkini tentang kemajuan kami sepanjang proses berkenaan.
Kami menghargai setiap individu yang meluangkan masa dan berusaha untuk melaporkan kerentanan keselamatan mengikut polisi ini. Walau bagaimanapun, kami tidak menyediakan sebarang insentif kepada mereka yang mendedahkan kerentanan pada masa ini. Perkara ini tertakluk kepada perubahan masa hadapan.
Jika anda ingin memberi maklum balas atau cadangan kepada polisi ini, sila hubungi kami menerusi vulnerability.disclosure@xmglobal.com.
Terima kasih kerana membantu melindungi Trading Point dan pengguna kami.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Muat turun kunci PGP Pendedahan Kerentanan Trading Point
Nota: Sila sulitkan mesej anda menggunakan kunci PGP di atas dan lampirkan kunci awam anda sendiri dalam e-mel yang sama.
Amaran Risiko: Modal anda dalam risiko. Produk yang berleveraj mungkin tidak sesuai untuk semua individu. Sila pertimbangkan Pendedahan Risiko kami.