Politica di divulgazione della vulnerabilità pubblica responsabile

Descrizione

Moneytrans è un’azienda fintech impegnata a promuovere la diversità e l’inclusione finanziaria. Comprendiamo l’importanza di mantenere elevati standard di sicurezza informatica e apprezziamo il supporto dei ricercatori di sicurezza informatica e dei membri delle comunità di cybersecurity nel raggiungimento di questo obiettivo. Se scopri una vulnerabilità della sicurezza informatica in una delle nostre applicazioni, ti chiediamo di informarci il prima possibile prima di rendere pubblica la questione. Si tratta della cosiddetta divulgazione responsabile, che ci consente di adottare le misure necessarie per risolvere il problema. In questo documento, i ricercatori troveranno tutte le informazioni necessarie per svolgere queste attività in modo sicuro e reciprocamente vantaggioso.

Linee guida

Si prega di notare le linee generali di questa politica.

Informaci immediatamente dopo aver scoperto un problema di sicurezza reale o potenziale.

Compiere ogni sforzo per evitare violazioni della privacy, degrado dell'esperienza dell'utente, interruzione dei sistemi di produzione e distruzione o manipolazione dei dati.

Utilizza gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità.

Concedici un ragionevole lasso di tempo per risolvere il problema prima di rivelarlo pubblicamente.

Non compromere intenzionalmente la privacy o la sicurezza del personale Moneytrans o di terzi.

Non compromettere intenzionalmente la proprietà intellettuale o altri interessi commerciali o finanziari del personale, entità di Moneytrans o di terze parti.

Dopo aver confermato la presenza di una vulnerabilità o essersi imbattuto in dati sensibili (come informazioni di identificazione personale, dettagli finanziari o informazioni proprietarie, compresi i segreti commerciali appartenenti a qualsiasi entità), devi interrompere i test, informarci tempestivamente e astenerti dal condividere questi dati con altre persone o parti.

In Ambito

Stiamo compiendo sforzi continui e significativi per affrontare i problemi che conosciamo e per evitare che ne compaiano di nuovi. Tuttavia, l’ambiente ICT è in continua evoluzione, così come le vulnerabilità della cybersecurity.

Anche se ci concentriamo principalmente sulla sicurezza delle informazioni e delle API, la salvaguardia dei dati dei nostri clienti è fondamentale. Pertanto, siamo particolarmente interessati a ricevere contributi relativi a quanto segue:

Qualsiasi accesso non autorizzato.
Perdita di dati.
Essere in grado di accedere a qualsiasi informazione personale e/o di contatto dei clienti che non appartengono all’utente che ha effettuato l’accesso.
Accedere al numero di conto bancario dei saldi non appartenenti all’utente collegato.
In generale, la capacità di accedere a dati che non appartengono all’utente collegato.
Tentativi di acquisizione dell’account.
Problemi di gestione delle sessioni.

Classificazione delle vulnerabilità

La valutazione finale della gravità di una vulnerabilità può essere accertata solo dopo una valutazione completa da parte dei responsabili della sicurezza e degli analisti.

Moneytrans impiega lo standard industriale CVSS v3 come misura fondamentale per determinare la gravità del problema. Indipendentemente dal punteggio numerico, i fattori potenziali che aumentano o attenuano il rischio devono essere considerati alla luce dei dettagli contestuali forniti.

Maggiori dettagli sulla metodologia di assegnazione dei punteggi possono essere consultati qui:

Le segnalazioni di vulnerabilità che possono comportare potenziali perdite di guadagno sono intrinsecamente contestuali, in particolare nei casi in cui gli aggressori non ottengono direttamente un guadagno finanziario (ad esempio, aggirando una barriera di pagamento). Allo stesso modo, le vulnerabilità all’interno di componenti aziendali altamente sensibili o esposti potrebbero comportare conseguenze indirette, come un danno alla reputazione. Moneytrans potrebbe scegliere di riclassificare una vulnerabilità quando entrano in gioco fattori contestuali alla nostra attività che diminuiscono o intensificano il rischio.

Ogni volta che viene invocato un modificatore di impatto aziendale, questo viene comunicato in modo trasparente al ricercatore. Questo modificatore può solo ridurre il punteggio di gravità calcolato dal calcolatore CVSSv3 di un massimo di una categoria. Tuttavia, ha il potenziale di elevare il punteggio a qualsiasi categoria.

Valutazioni di vulnerabilità

Valutazione della gravità

Punteggio CVSS v3

Nessuno

0.0

Basso

0.1 - 3.9

Medio

4.0 - 6.9

Alto

7.0 - 8.9

Critico

9.0 - 9.4

Eccezionale

9.5 - 10.0

Tipo di bug

Gravità (base)

Iniezione di HTML riflessa

Basso

Iniezione di HTML nelle e-mail

Basso

Pagina di info/debug PHP divulgata

Basso

Bypass della verifica via e-mail

Basso

Aprire il reindirizzamento senza impatto aggiuntivo

Basso

Dirottamento di link rotti (link ad alto traffico)

Basso

Eccezioni

Alcune vulnerabilità possono incidere solo leggermente sulle singole metriche CVSS v3 sopra descritte, in modo tale da non giustificare un aggiornamento di gravità. Abbiamo delineato questi casi limite qui di seguito, in modo che sappia quale valutazione di gravità aspettarsi:

Accordo sul livello di servizio

Convalideremo tutti gli invii entro i tempi indicati di seguito (una volta che il team di sicurezza informatica di Moneytrans avrà verificato il tuo invio)

*Giorni lavorativi: Dal lunedì al venerdì, dalle 9.00 alle 17.00 (CET).

Gravità

Massimo. Ritardo

Eccezionale

Tre giorni lavorativi

Critico

Cinque giorni lavorativi

Alto

Dieci giorni lavorativi

Medio

14 giorni lavorativi

Basso

14 giorni lavorativi

Domini / applicazioni

I seguenti domini e applicazioni mobili sono considerati nell’ambito di questo programma.

www.moneytrans.eu

www.moneytrans.eu/api

Play Store : eu.moneytrans.online

App Store : 1454021645

Regole (scoping)

1. Domini fuori ambito

I domini non esplicitamente elencati nella sezione "Domini / applicazioni" di questo programma sono considerati al di fuori dell'ambito di questo programma di bug bounty.

2. Attività vietate

Ai partecipanti è severamente vietato eseguire scansioni automatiche o tentativi di forza bruta. Ciò include l'invio di più richieste automatiche che tentano diverse combinazioni o caratteri su un singolo endpoint. Inoltre, ai partecipanti è vietato effettuare più di dieci richieste al secondo.

3.Impostazione degli strumenti per evitare il licenziamento della submission

Tous les chercheurs doivent configurer leurs outils (le cas échéant) en observant la configuration suivante :

Parametro	Valore
Limite di velocità richiesto	Max. 5 richieste al secondo
Utente Agente utente	MT-VlnDisclosure
Intestazione della richiesta	X-MT-VlnDisclosure

4. Invii fuori ambito

Acquisizione dell'account pre-autentico / oauth squatting.
Auto-XSS che non può essere utilizzato per sfruttare altri utenti.
Elenchi verbosi di messaggi/file/directory senza rivelare alcuna informazione sensibile.
Errata configurazione CORS su endpoint non sensibili.
Mancano i flag dei cookie.
Mancano le intestazioni di sicurezza.
Cross-site Request Forgery con impatto nullo o basso.
Presenza dell'attributo di completamento automatico nei moduli web.
Invertire il tabnabbing.
Bypassare i limiti tariffari o l'inesistenza di limiti tariffari.
Violazioni delle best practice (complessità della password, scadenza, riutilizzo, ecc.).
Clickjacking (tutti i casi).
Iniezione CSV.
Iniezione dell'intestazione dell'host.
Le sessioni non vengono invalidate (ad esempio, il logout, l'abilitazione del 2FA, la reimpostazione della password...).
Iniezione di collegamenti ipertestuali/takeover.
Problemi di tipo di contenuto misto.
Perdita di referer tra domini.
Tutto ciò che riguarda lo spoofing delle e-mail, SPF, DMARC o DKIM.
Iniezione di contenuto.
Enumerazione di nome utente / email.
Bombardamento di e-mail.
Contrabbando di richieste HTTP senza alcun impatto comprovato.
Attacchi di omografi.
XMLRPC abilitato.
Banner grabbing / Divulgazione della versione.
Aprire porte senza un proof-of-concept che dimostri la vulnerabilità.
Configurazioni SSL deboli e rapporti di scansione SSL/TLS.
Non si eliminano i metadati delle immagini.
Divulgazione di chiavi API senza impatto comprovato.
Scripting sullo stesso sito.
Acquisizione di un sottodominio senza rilevare il sottodominio.
Caricamento arbitrario di file senza prova dell'esistenza del file caricato.

Mobile

Link condivisi che sono trapelati attraverso la clipboard del sistema

URI che sono trapelati perché un’app dannosa ha ottenuto l’autorizzazione a visualizzare gli URI aperti.

Assenza di appuntatura del certificato

Dati sensibili presenti negli URL o nei corpi delle richieste, anche quando sono protetti da TLS.

Mancanza di offuscamento

Divulgazione del percorso nel binario

Mancanza di jailbreak e rilevamento di root

Arresti anomali dovuti a schemi URL malformati

Mancanza di controlli di protezione binaria (anti-debugging) e di pinning SSL mobile

Perdita di istantanee/pasteboard

Gli exploit di hacking del runtime (exploit che sono possibili solo in un ambiente jailbroken)

Perdita di chiavi API che vengono utilizzate per attività o azioni non sensibili.

Attività escluse: Questo programma non accetta segnalazioni relative ad attacchi che richiedono l’accesso fisico al dispositivo della vittima.

Generale

Se Moneytrans ha già identificato una vulnerabilità segnalata da un partecipante attraverso i suoi test, sarà considerata una segnalazione duplicata.
La gravità dei problemi di sicurezza teorici senza scenari di exploit realistici, superfici di attacco o problemi che richiedono interazioni complesse con l’utente finale per essere sfruttati, può essere ridotta o esclusa.
Le vulnerabilità multiple causate da un problema di fondo saranno premiate con un’unica taglia.
Attività escluse / non accettate:
Non saranno accettate segnalazioni relative a spam, social engineering, intrusioni fisiche, attacchi DoS/DDoS o attacchi di forza bruta.
Le vulnerabilità che interessano i browser non attuali (più vecchi di tre versioni) non saranno eleggibili per una taglia.
Gli attacchi che richiedono l’accesso fisico al computer o al dispositivo della vittima, gli attacchi man-in-the-middle o gli account utente compromessi non saranno accettati.
Le segnalazioni di vulnerabilità zero-day scoperte entro 14 giorni dal rilascio pubblico di una patch o di una mitigazione possono essere accettate, ma di solito non sono idonee per una taglia.
I rapporti che indicano che il software è obsoleto o vulnerabile senza fornire una prova di concetto non saranno accettati.

Come inviare le vulnerabilità

Invia le submission di vulnerabilità a [email protected]. Si prega di costruire la Prova di Concetto utilizzando il seguente modello:

## Asset [‍aggiungere la superficie di attacco di questo problema]

## Debolezza
[aggiungere il tipo di problema potenziale che avete scoperto].

## Sintesi:
[aggiungere una sintesi della vulnerabilità].

## Passi per riprodurre:
[aggiungere dettagli su come riprodurre il problema].

[aggiungi passo]

## Materiale di supporto/Riferimenti:
[elencare qualsiasi materiale aggiuntivo (ad esempio, screenshot, registri, ecc.)].

[allegato / riferimento]

Porto sicuro

Inviando le tue scoperte a Moneytrans nel rispetto di queste regole, Moneytrans si impegna ad astenersi dall’intraprendere misure legali nei tuoi confronti. In caso di mancata osservanza di queste linee guida, Moneytrans conserva tutti i diritti legali. Nel caso in cui una terza parte dovesse avviare un procedimento legale contro di voi in merito alle azioni svolte in base a questo protocollo, ci impegneremo a rendere pubblico che i tuoi sforzi sono stati eseguiti seguendo questa politica.

Porgiamo la nostra gratitudine per la tua assistenza nel sostenere la sicurezza di Moneytrans e della nostra base di clienti.

Altre considerazioni

Nessuna taglia

Moneytrans non offre ricompense per le vulnerabilità scoperte. Ma può farlo:

Rendere pubblico, sotto forma di "Hall of Fame" sul nostro sito web aziendale pubblico, l'elenco dei ricercatori più rilevanti.

Moneytrans potrebbe, se necessario, fornire ai ricercatori che lo richiedono una lettera di riconoscimento delle loro competenze tecniche, del codice di condotta e di correttezza, delle scoperte e delle linee guida per la risoluzione, e/o delle scoperte quando le vulnerabilità trovate sono critiche o eccezionali. Saranno presi in considerazione anche i casi in cui la loro soluzione apporta un valore aggiunto significativo alla sicurezza informatica dell'azienda.

Candidati per il programma privato di bug-bounty

Moneytrans si riserva il diritto di creare programmi privati di bug-bounty, per i quali Moneytrans inviterà un gruppo selezionato di ricercatori a condurre test di sicurezza informatica o attività di hacking etico per rafforzare la sicurezza informatica di Moneytrans.

Nuovo quadro giuridico per la segnalazione delle vulnerabilità IT in Belgio

Qui di seguito trovi un'importante risorsa per comprendere il nuovo quadro attivato dalle autorità belghe in merito alla divulgazione delle vulnerabilità della cybersecurity:

Nuovo quadro giuridico per la segnalazione delle vulnerabilità IT | Centro per la sicurezza informatica del Belgio

Contattaci!

CENTRO ASSISTENZA

Le tue domande sono 24/7 e anche noi lo siamo.

Mettiti in contatto 7 giorni su 7, con il nostro team di assistenza che parla la tua lingua ogni volta che ne hai bisogno. Contattaci per telefono, e-mail, chat, social media o attraverso una delle nostre 3000 agenzie in Europa. La finanza personale diventa ancora più personale!

Cookie	Durata	Descrizione
_icl_visitor_lang_js	3 giorni	WordPress. Identificazione della lingua dell'utente.
Archiviazione di sessione	Persistente	Proprio. Archiviazione locale dei dati di applicazioni web che utilizza l'utente.
catAccCookies	1 mese	Proprio. Verifica se l'utente ha accettato la politica dei cookies.
cookielawinfo-checbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell’utente per i cookie della categoria “Altro”.
cookielawinfo-checkbox-advertisement	1 anno	Proprio. Ricorda il consenso dell'utente per i cookie classificati come "Pubblicità"
cookielawinfo-checkbox-analytics	1 anno	Proprio. Memorizza lo stato del consenso ai cookie analitici dell'utente.
cookielawinfo-checkbox-functional	1 anno	Proprio. Ricorda il consenso dell'utente per i cookie classificati come "Funzionali"
cookielawinfo-checkbox-necessary	1 anno	Proprio. Cookie che tiene traccia dei cookie che hai approvato.
cookielawinfo-checkbox-non-necessary	30 minuti	Proprio. Cookie tecnico e strettamente necessario che contiene il valore se si ha accettato i cookies e l'informativa sulla privacy.
cookielawinfo-checkbox-opcionales	1 anno	Proprio. Ti consente di ricordare la tua preferenza in merito alla scelta dei cookie opzionali sul web.
cookielawinfo-checkbox-performance	1 anno	Proprio. Ricorda il consenso dell'utente per i cookie classificati come "Prestazione”
CookieLawInfoConsent	1 anno	Proprio. Accettazione della politica dei cookies.
Memoria locale	Persistente	Proprio. Archiviazione locale dei dati di applicazioni web che usa l’utente
partner-sec-context	3 ore	Funzione. Memorizza l'identificatore di sicurezza del contesto dell'applicazione.
partner-sec-token	3 ore	Funzione. Salva il token identificativo della sessione di sicurezza.
viewed_cookie_policy	1 anno	Proprio. Cookie per uso interno necessario al funzionamento della visualizzazione della politica web dei cookies.
wp-site	2 mesi	Funzione. Indica il paese (operativo) del cliente.
wp-wpml_current_language	Sessione	Funzione. Salva la lingua selezionata dal cliente.
wpml_browser_redirect_test	Persistente	WordPress. Identificazione della lingua dell’utente.

Cookie	Durata	Descrizione
_ga	Alla fine della sessione	Google. Utilizzati per distinguere gli utenti.
_ga_TL96VCEX2K	2 anni	Google. Sconosciuto.
_gat	10 minuti	Google. Differenziano tra i diversi elementi di tracciamento creati nella sessione.
_gat_UA-*	Sessione	Google. Analizza l'esperienza utente sulla rete.
_gid	1 anno	Google. Distinguono gli utenti.
_hjAbsoluteSessionInProgress	1 giorno	Hotjar. Conta le volte in cui un sito Web è stato visitato da visitatori diversi.
_hjFirstSeen	1 ora	Hotjar. Rileva se è la prima volta che l'utente raggiunge il dominio
_hjid	1 anno	Hotjar. Cosserva l'identificazione dell'utente in modo casuale ed esclusivo quando l'utente raggiunge per la prima volta una pagina con lo script Hotjar.
_hjIncludedInPageviewSample	1 giorno	Hotjar. Determina se la navigazione dell'utente deve essere registrata in un determinato luogo statistico.
_hjIncludedInSessionSample	Sessione	Hotjar. Sapere se quel visitatore è incluso nel campionamento dei dati.
_hjTLDTest	Sessione	Hotjar. Determina il percorso del cookie più generico da utilizzare.
Archiviazione di Sessione	Persistente	Google. Archiviazione locale dei dati delle applicazioni web utilizzate dall'utente.
cli_user_preference	1 anno	Proprio. Memorizza lo stato del consenso ai cookie dell'utente.
intercom-id-*	9 mesi	WordPress. Identificazione anonima del visitatore.
intercom-session-*	7 giorni	WordPress. Tiene traccia delle sessioni e ricorda i segnali di sessione e conversazioni.
NID	6 mesi	Google. Registra un ID
Stoccaggio di sessione	Alla fine della sessione	Youtube. Raccolgono le informazioni necessarie per fornire il servizio

Cookie	Durata	Descrizione
Archiviazione di Sessione	Persistente	Youtube. Archiviazione delle informazioni dell'utente per applicazioni web.
G_ENABLED_IDPS	persistente	Google. Utilizzato per l'inizio di sessione unica di Google.
test_cookie	Session	Doubleclick . Controlla se il browser accetta i cookie.

Cookie	Durata	Descrizione
GOOGLE ADS	13 mesi	Google Ads. "Google Ads è una piattaforma pubblicitaria online sviluppata da Google, in cui gli inserzionisti fanno offerte per mostrare brevi annunci, offerte di servizi, schede di prodotti o video agli utenti web. Puoi inserire annunci nei risultati dei motori di ricerca, siti Web, app mobili e video non di ricerca." https://business.safety.google/adscookies/
IDE	1 anno	Doubleclick. Ottimizzazione della pubblicità.
META ADS	3 mesi	_fbp. Fornisce prodotti pubblicitari come offerte "Meta, tramite gli annunci di Facebook, raccoglie dati che ci aiutano a mostrarti annunci pertinenti, monitorare le conversioni dagli annunci di Facebook, ottimizzare gli annunci, creare segmenti di pubblico specifici per annunci futuri e reindirizzare gli utenti che hanno già intrapreso un'azione sui nostri siti Web. In particolare, il pixel stesso viene utilizzato per distinguere e tracciare i singoli clienti." https://www.facebook.com/legal/controller_addendum
META ADS (II)	3 mesi	fr. Cookie pubblicitario principale di Facebook. "Meta, tramite gli annunci di Facebook, raccoglie dati che ci aiutano a mostrarti annunci pertinenti, monitorare le conversioni dagli annunci di Facebook, ottimizzare gli annunci, creare segmenti di pubblico specifici per annunci futuri e reindirizzare gli utenti che hanno già intrapreso un'azione sui nostri siti Web. In particolare, il pixel stesso viene utilizzato per distinguere e tracciare i singoli clienti." https://www.facebook.com/legal/controller_addendum
OUTBRAIN	5 minuti	outbrain_cid_fetch. Raccoglie rapporti statistici. "Outbrain è un servizio di content marketing. Fornisce servizi pubblicitari nativi mirati, aiutando Moneytrans a reindirizzare gli utenti non convertiti." https://www.outbrain.com/help/advertisers/outbrain-tracking/#:~:text=We%20collect%20the%20IP%20address,profile%20and%20recommend%20personalized%20content.
TABOOLA	1 anno	Taboola "Taboola è un servizio di content marketing. Fornisce servizi pubblicitari nativi mirati, che aiutano Moneytrans a reindirizzare gli utenti non convertiti e a comprendere le azioni che i clienti intraprendono sul nostro sito dopo aver fatto clic su un annuncio Moneytrans." https://www.taboola.com/policies/cookie-policy
YOUTUBE	179 giorni	VISITOR_INFO1_LIVE. Prova a calcolare la larghezza di banda dell'utente. "YouTube è una piattaforma di proprietà di Google per l'hosting e la condivisione di video. YouTube raccoglie i dati degli utenti tramite video incorporati nei siti Web, che vengono aggregati con i dati del profilo di altri servizi Google per visualizzare pubblicità mirata ai visitatori Web su un'ampia gamma di siti Web propri e di altri siti." https://www.youtube.com/t/terms
YOUTUBE (II)	persistente	CONSENT. Migliorano la pubblicità, spesso utilizzata per indirizzare l’utente. "YouTube è una piattaforma di proprietà di Google per l'hosting e la condivisione di video. YouTube raccoglie i dati degli utenti tramite video incorporati nei siti Web, che vengono aggregati con i dati del profilo di altri servizi Google per visualizzare pubblicità mirata ai visitatori Web su un'ampia gamma di siti Web propri e di altri siti." https://www.youtube.com/t/terms
YOUTUBE (III)	session	YSC. Registra un'identificazione univoca per sapere quali video ha visto l'utente "YouTube è una piattaforma di proprietà di Google per l'hosting e la condivisione di video. YouTube raccoglie i dati degli utenti tramite video incorporati nei siti Web, che vengono aggregati con i dati del profilo di altri servizi Google per visualizzare pubblicità mirata ai visitatori Web su un'ampia gamma di siti Web propri e di altri siti." https://www.youtube.com/t/terms

Seleziona il tuo paese

Le nostre destinazioni TOP

Nos destinations tops

Nos destinations tops

Politica di divulgazione della vulnerabilità pubblica responsabile

Descrizione

Linee guida

Si prega di notare le linee generali di questa politica.

Informaci immediatamente dopo aver scoperto un problema di sicurezza reale o potenziale.

Compiere ogni sforzo per evitare violazioni della privacy, degrado dell'esperienza dell'utente, interruzione dei sistemi di produzione e distruzione o manipolazione dei dati.

Utilizza gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità.

Concedici un ragionevole lasso di tempo per risolvere il problema prima di rivelarlo pubblicamente.

Non compromere intenzionalmente la privacy o la sicurezza del personale Moneytrans o di terzi.

Non compromettere intenzionalmente la proprietà intellettuale o altri interessi commerciali o finanziari del personale, entità di Moneytrans o di terze parti.

In Ambito

Classificazione delle vulnerabilità

Valutazioni di vulnerabilità

Valutazione della gravità

Punteggio CVSS v3

Tipo di bug

Gravità (base)

Eccezioni

Accordo sul livello di servizio

Gravità

Massimo. Ritardo

Domini / applicazioni

Regole (scoping)

Mobile

Generale

Come inviare le vulnerabilità

Porto sicuro

Altre considerazioni

Contattaci!

CENTRO ASSISTENZA

Le tue domande sono 24/7 e anche noi lo siamo.

MONEYTRANS

SERVIZI

COMUNITÀ

SICUREZZA