Politique de divulgation des vulnérabilités de responsabilité publique

Description

Moneytrans est une entreprise fintech engagée dans la promotion de la diversité et de l’inclusion financière. Nous comprenons l’importance de maintenir des normes élevées de sécurité informatique et nous apprécions le soutien des chercheurs en sécurité et des membres des communautés de cybersécurité pour atteindre cet objectif. Si vous découvrez une vulnérabilité de sécurité informatique dans l’une de nos applications, nous vous demandons de nous en informer dès que possible avant de rendre le problème public. Cela s’appelle la divulgation responsable et nous permet de prendre les mesures nécessaires pour résoudre le problème. Dans ce document, les chercheurs trouveront toutes les informations nécessaires pour mener ces activités de manière à en bénéficier mutuellement de manière sécurisée. 

Directives

Veuillez prendre en compte les directives générales de cette politique.

Informez-nous immédiatement après avoir découvert un problème de sécurité réel ou potentiel.

Faites de votre mieux pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.

Utilisez les exploits uniquement dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité.

Accordez-nous un temps raisonnable pour résoudre le problème avant de le divulguer publiquement.

Ne compromettez pas délibérément la vie privée ou la sécurité du personnel de Moneytrans ou de tiers.

Ne compromettez pas délibérément la propriété intellectuelle ou d'autres intérêts commerciaux ou financiers du personnel de Moneytrans, des entités ou de tiers.

Après avoir confirmé la présence d’une vulnérabilité ou découvert des données sensibles (telles que des informations d’identification personnelle, des détails financiers ou des informations de propriété, y compris des secrets commerciaux appartenant à toute entité), arrêtez vos tests, notifiez-nous immédiatement et abstenez-vous de partager ces données avec d’autres personnes ou parties.

Dans le champs d’application

Nous déployons des efforts continus et significatifs pour résoudre les problèmes que nous connaissons et éviter l’émergence de nouveaux. Cependant, l’environnement des TIC évolue constamment, tout comme les vulnérabilités de cybersécurité.

Bien que nous nous concentrions principalement sur la sécurité de l’information et des API, la sauvegarde des données de nos clients est primordiale. Par conséquent, nous sommes particulièrement intéressés par les propositions liées aux éléments suivants : 

  • Tout accès non autorisé.
  • Fuite de données.
  • Accès à des informations personnelles et/ou de contact de clients qui n’appartiennent pas à l’utilisateur connecté. 
  • Accès au numéro de compte bancaire des soldes qui n’appartiennent pas à l’utilisateur enregistré.
  • En général, la capacité d’accéder à des données qui n’appartiennent pas à l’utilisateur connecté.
  • Tentatives d’appropriation de comptes.
  • Questions liées à la gestion des sessions.

Classification de la vulnérabilité

L’évaluation définitive de la gravité d’une vulnérabilité ne peut être déterminée qu’après une évaluation approfondie par les responsables et les analystes de sécurité. 

Moneytrans utilise la norme industrielle CVSS v3 comme mesure fondamentale pour déterminer la gravité du problème. Indépendamment du score numérique, les facteurs potentiels qui augmentent ou atténuent le risque à la lumière des détails contextuels fournis doivent être pris en compte. 

Pour plus de détails sur la méthodologie de notation, cliquez ici :

Les soumissions de vulnérabilités pouvant entraîner des pertes potentielles de revenus sont intrinsèquement contextuelles, en particulier dans les cas où les attaquants ne tirent pas directement des avantages économiques (par exemple, contourner une barrière de paiement). De même, les vulnérabilités au sein de composants métiers très sensibles ou exposés pourraient avoir des conséquences indirectes, telles que des dommages à la réputation. Moneytrans pourrait choisir de reclassement une vulnérabilité lorsque des facteurs contextuels liés à notre entreprise entrent en jeu et diminuent ou intensifient le risque. 

Chaque fois qu’un modificateur d’impact commercial est invoqué, il sera communiqué de manière transparente au chercheur. Ce modificateur ne peut réduire la gravité calculée par la calculatrice CVSSv3 que d’un maximum d’une catégorie. Cependant, il a le potentiel d’augmenter la note à n’importe quelle catégorie. 

Indices de vulnérabilité

Indice de gravité

Score CVSS v3

Aucun

0.0

Faible

0.1 - 3.9

Moyen

4.0 - 6.9

Haut

7.0 - 8.9

Critique

9.0 - 9.4

Exceptionnel

9.5 - 10.0

Type de bogue

Gravité (base)

Injection HTML réfléchie

Faible

Injection de HTML dans les courriers électroniques

Faible

Page d'information/débogage PHP divulguée

Faible

Contournement de la vérification de l'e-mail

Faible

Redirection ouverte sans impact supplémentaire

Faible

Détournement de liens brisés (liens à fort trafic)

Faible

Exceptions

Certaines vulnérabilités peuvent affecter légèrement les métriques CVSS v3 individuelles mentionnées ci-dessus de manière à ne pas justifier une mise à jour de la gravité. Nous avons énuméré ces cas extrêmes ci-dessous pour vous informer de l’évaluation de gravité à attendre :

Accord de niveau de service

Nous validerons toutes les soumissions dans les délais suivants (une fois que l’équipe de sécurité informatique de Moneytrans aura vérifié votre envoi) : 

*Jours ouvrables : Du lundi au vendredi, de 9 h à 17 h (CET). 

Sévérité

Max. Délai

Exceptionnel

Trois jours ouvrables

Critique

Cinq jours ouvrables

Haut

Dix jours ouvrables

Moyen

14 jours ouvrables

Faible

14 jours ouvrables

Domaines / Applications

Les domaines et applications mobiles suivants sont considérés dans le cadre de ce programme.

www.moneytrans.eu

www.moneytrans.eu/api

Play Store : eu.moneytrans.online

App Store : 1454021645

Normes

Les domaines qui ne sont pas explicitement mentionnés dans la section "Domaines/Applications" de ce programme sont considérés comme étant hors de la portée de ce programme de récompenses pour les failles.

Il est strictement interdit aux participants d'effectuer des scans automatisés ou des tentatives de force brute. Cela inclut l'envoi de multiples demandes automatisées essayant différentes combinaisons ou caractères sur un seul point d'accès. De plus, les participants sont interdits de réaliser plus de dix demandes par seconde.

Tous les chercheurs doivent configurer leurs outils (le cas échéant) en observant la configuration suivante :

ParamètresValeur
Limite du taux de demandeMax. 5 requêtes / seconde
Utilisateur Agent de l'utilisateurMT-VlnDisclosure
En-tête de la demandeX-MT-VlnDisclosure
  • Prise de possession de comptes pré authentifiés / Occupation d'OAuth.
  • Self-XSS qui ne peut pas être utilisé pour exploiter d'autres utilisateurs.
  • Messages/fichiers/listes de répertoires verbeux sans révéler d'informations sensibles.
  • Mauvaise configuration de CORS sur des points d'extrémité non sensibles.
  • Absence de balises de cookies.
  • Absence d'en-têtes de sécurité.
  • Falsification de requêtes en cross-site avec impact nul ou faible.
  • Présence de l'attribut d'autocomplétion dans les formulaires web.
  • Tabnabbing inverse.
  • Contournement des limites tarifaires ou de l'absence de limites tarifaires.
  • Violation des bonnes pratiques (complexité des mots de passe, expiration, réutilisation, etc.).
  • Clickjacking (tous les cas).
  • Injection CSV.
  • Injection d'en-tête d'hôte.
  • Sessions non invalidées (par exemple, déconnexion, activation de 2FA, y compris la réinitialisation du mot de passe...).
  • Injection/prise de liens hypertextes.
  • Problèmes de contenu mixte.
  • Fuite de références entre domaines.
  • Tout ce qui concerne l'usurpation d'identité par e-mail, SPF, DMARC ou DKIM.
  • Injection de contenu.
  • Énumération de nom d'utilisateur/adresse e-mail.
  • Bombardement par e-mail.
  • Contrebande de requêtes HTTP sans impact prouvé.
  • Attaques homographes.
  • XMLRPC activé.
  • Accaparement de bannières/Disclosure de versions.
  • Ouverture de ports sans une démonstration de concept démontrant la vulnérabilité.
  • Configurations SSL faibles et rapports d'analyse SSL/TLS.
  • Non-suppression des métadonnées des images.
  • Divulgation de clés API sans impact prouvé.
  • Scripts sur le même site.
  • Prise de contrôle du sous-domaine sans prendre le contrôle du domaine principal.
  • Chargement arbitraire de fichiers sans preuve de l'existence du fichier chargé.

Téléphone

  • Liens partagés qui ont fui via le presse-papiers du système.
  • URI qui fuient parce qu’une application malveillante a obtenu la permission de voir les URI ouvertes.
  • Absence d’allumage de certificats.
  • Données sensibles présentes dans les URL ou dans les corps des requêtes même lorsqu’elles sont protégées par TLS.
  • Absence d’obscurcissement.
  • Divulgation du chemin dans le binaire.
  • Absence de détection du jailbreak et du root.
  • Chutes dues à des schémas d’URL malformés.
  • Absence de contrôles de protection binaire (anti-débogage) et de correction SSL mobile.
  • Fuite d’images/autocollants.
  • Exploits de piratage en temps d’exécution (exploits qui ne sont possibles que dans un environnement jailbreaké).
  • Fuite de clés API utilisées pour des activités ou actions insensibles.
  • Activités exclues : Ce programme n’acceptera pas de rapports liés à des attaques nécessitant un accès physique à l’appareil de la victime.

Général

  • Si Moneytrans a déjà identifié une vulnérabilité signalée par un participant grâce à ses tests, cela sera considéré comme un rapport en double.
  • La gravité des problèmes de sécurité théoriques sans scénarios d’exploitation réalistes, de surfaces d’attaque ou de problèmes nécessitant des interactions complexes de l’utilisateur final pour être exploités, peut être réduite ou exclue.
  • Les vulnérabilités multiples causées par un problème sous-jacent recevront une récompense.
  • Activités exclues / non acceptées :
  • Aucun rapport lié au spam, à l’ingénierie sociale, à l’intrusion physique, aux attaques DoS/DDoS ou aux attaques de force brute ne sera accepté.
  • Les vulnérabilités affectant des navigateurs non actuels (de plus de trois versions) ne seront pas éligibles à une récompense.
  • Aucune attaque nécessitant un accès physique à l’ordinateur ou au dispositif de la victime, aucune attaque de l’homme du milieu ou de comptes d’utilisateur compromis ne sera acceptée.
  • Les rapports de vulnérabilités de jour zéro découverts dans les 14 jours suivant la publication d’un correctif ou d’une atténuation peuvent être acceptés, mais ne sont généralement pas éligibles à une récompense.
  • Aucun rapport indiquant que le logiciel est obsolète ou vulnérable sans fournir de preuves de concept ne sera accepté.

Comment soumettre des vulnérabilités

Envoyez les soumissions de vulnérabilités à [email protected] Veuillez construire la preuve de concept en utilisant le modèle suivant : 

## Actif [ajouter la surface d’attaque de ce problème] 

## Faiblesse
[Ajouter le type de problème potentiel que vous avez découvert]. 

## Résumé :
[Ajouter un résumé de la vulnérabilité]. 

## Étapes pour le reproduire :
[Ajouter des détails pour savoir comment nous pouvons reproduire le problème]. 

[Ajouter une étape] 

[Ajouter une étape] 

[Ajouter une étape] 

## Matériel de support/Références  :
[Lister tout matériel supplémentaire (par exemple, captures d’écran, journaux, etc.)].

[Annexe/référence] 

Port sûr

En soumettant vos découvertes à Moneytrans en suivant ces règles, Moneytrans s’engage à s’abstenir de prendre des mesures légales contre vous. En cas de non-respect de ces règles, Moneytrans se réserve tous les droits légaux. Dans le cas où un tiers engagerait des poursuites judiciaires contre vous pour des actions entreprises dans le cadre de ce protocole, nous nous efforcerons de rendre public que vos efforts ont été réalisés en suivant cette politique. 

Nous vous remercions de votre aide pour maintenir la sécurité de Moneytrans et de notre clientèle. 

Autres considérations

Moneytrans n'offre pas de récompenses pour les vulnérabilités découvertes. Cependant, Moneytrans pourrait éventuellement :

  • Rendre publique, sous la forme de "Salle de la Fama" sur notre page web d'entreprise accessible au public, la liste des chercheurs les plus pertinents.
  • Fournir aux chercheurs qui le demandent une lettre de reconnaissance de leurs compétences techniques, de leur code de conduite et d'équité, de leurs découvertes et directives de résolution, et/ou de leurs résultats, à condition que les vulnérabilités trouvées soient critiques ou exceptionnelles. Les questions importantes seront également prises en compte lorsque leur solution apportera une valeur ajoutée significative à la cybersécurité de l'entreprise.

Moneytrans se réserve le droit de créer des programmes privés de récompenses (bounties) pour les failles, pour lesquels Moneytrans invitera un ensemble sélectionné de chercheurs à effectuer des tests de cybersécurité ou des activités de piratage éthique afin de renforcer la cybersécurité informatique de Moneytrans.

Vous trouverez ci-dessous une ressource importante pour comprendre le nouveau cadre mis en place par les autorités belges concernant la divulgation des vulnérabilités en matière de cybersécurité :