Politica di divulgazione della vulnerabilità pubblica responsabile

Descrizione

Moneytrans è un’azienda fintech impegnata a promuovere la diversità e l’inclusione finanziaria. Comprendiamo l’importanza di mantenere elevati standard di sicurezza informatica e apprezziamo il supporto dei ricercatori di sicurezza informatica e dei membri delle comunità di cybersecurity nel raggiungimento di questo obiettivo. Se scopri una vulnerabilità della sicurezza informatica in una delle nostre applicazioni, ti chiediamo di informarci il prima possibile prima di rendere pubblica la questione. Si tratta della cosiddetta divulgazione responsabile, che ci consente di adottare le misure necessarie per risolvere il problema. In questo documento, i ricercatori troveranno tutte le informazioni necessarie per svolgere queste attività in modo sicuro e reciprocamente vantaggioso.

Linee guida

Si prega di notare le linee generali di questa politica.

Informaci immediatamente dopo aver scoperto un problema di sicurezza reale o potenziale.

Compiere ogni sforzo per evitare violazioni della privacy, degrado dell'esperienza dell'utente, interruzione dei sistemi di produzione e distruzione o manipolazione dei dati.

Utilizza gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità.

Concedici un ragionevole lasso di tempo per risolvere il problema prima di rivelarlo pubblicamente.

Non compromere intenzionalmente la privacy o la sicurezza del personale Moneytrans o di terzi.

Non compromettere intenzionalmente la proprietà intellettuale o altri interessi commerciali o finanziari del personale, entità di Moneytrans o di terze parti.

Dopo aver confermato la presenza di una vulnerabilità o essersi imbattuto in dati sensibili (come informazioni di identificazione personale, dettagli finanziari o informazioni proprietarie, compresi i segreti commerciali appartenenti a qualsiasi entità), devi interrompere i test, informarci tempestivamente e astenerti dal condividere questi dati con altre persone o parti.

In Ambito

Stiamo compiendo sforzi continui e significativi per affrontare i problemi che conosciamo e per evitare che ne compaiano di nuovi. Tuttavia, l’ambiente ICT è in continua evoluzione, così come le vulnerabilità della cybersecurity.

Anche se ci concentriamo principalmente sulla sicurezza delle informazioni e delle API, la salvaguardia dei dati dei nostri clienti è fondamentale. Pertanto, siamo particolarmente interessati a ricevere contributi relativi a quanto segue:

  • Qualsiasi accesso non autorizzato.
  • Perdita di dati.
  • Essere in grado di accedere a qualsiasi informazione personale e/o di contatto dei clienti che non appartengono all’utente che ha effettuato l’accesso.
  • Accedere al numero di conto bancario dei saldi non appartenenti all’utente collegato.
  • In generale, la capacità di accedere a dati che non appartengono all’utente collegato.
  • Tentativi di acquisizione dell’account.
  • Problemi di gestione delle sessioni.

Classificazione delle vulnerabilità

La valutazione finale della gravità di una vulnerabilità può essere accertata solo dopo una valutazione completa da parte dei responsabili della sicurezza e degli analisti.

Moneytrans impiega lo standard industriale CVSS v3 come misura fondamentale per determinare la gravità del problema. Indipendentemente dal punteggio numerico, i fattori potenziali che aumentano o attenuano il rischio devono essere considerati alla luce dei dettagli contestuali forniti.

Maggiori dettagli sulla metodologia di assegnazione dei punteggi possono essere consultati qui:

Le segnalazioni di vulnerabilità che possono comportare potenziali perdite di guadagno sono intrinsecamente contestuali, in particolare nei casi in cui gli aggressori non ottengono direttamente un guadagno finanziario (ad esempio, aggirando una barriera di pagamento). Allo stesso modo, le vulnerabilità all’interno di componenti aziendali altamente sensibili o esposti potrebbero comportare conseguenze indirette, come un danno alla reputazione. Moneytrans potrebbe scegliere di riclassificare una vulnerabilità quando entrano in gioco fattori contestuali alla nostra attività che diminuiscono o intensificano il rischio.

Ogni volta che viene invocato un modificatore di impatto aziendale, questo viene comunicato in modo trasparente al ricercatore. Questo modificatore può solo ridurre il punteggio di gravità calcolato dal calcolatore CVSSv3 di un massimo di una categoria. Tuttavia, ha il potenziale di elevare il punteggio a qualsiasi categoria.

Valutazioni di vulnerabilità

Valutazione della gravità

Punteggio CVSS v3

Nessuno

0.0

Basso

0.1 - 3.9

Medio

4.0 - 6.9

Alto

7.0 - 8.9

Critico

9.0 - 9.4

Eccezionale

9.5 - 10.0

Tipo di bug

Gravità (base)

Iniezione di HTML riflessa

Basso

Iniezione di HTML nelle e-mail

Basso

Pagina di info/debug PHP divulgata

Basso

Bypass della verifica via e-mail

Basso

Aprire il reindirizzamento senza impatto aggiuntivo

Basso

Dirottamento di link rotti (link ad alto traffico)

Basso

Eccezioni

Alcune vulnerabilità possono incidere solo leggermente sulle singole metriche CVSS v3 sopra descritte, in modo tale da non giustificare un aggiornamento di gravità. Abbiamo delineato questi casi limite qui di seguito, in modo che sappia quale valutazione di gravità aspettarsi:

Accordo sul livello di servizio

Convalideremo tutti gli invii entro i tempi indicati di seguito (una volta che il team di sicurezza informatica di Moneytrans avrà verificato il tuo invio)

*Giorni lavorativi: Dal lunedì al venerdì, dalle 9.00 alle 17.00 (CET).

Gravità

Massimo. Ritardo

Eccezionale

Tre giorni lavorativi

Critico

Cinque giorni lavorativi

Alto

Dieci giorni lavorativi

Medio

14 giorni lavorativi

Basso

14 giorni lavorativi

Domini / applicazioni

I seguenti domini e applicazioni mobili sono considerati nell’ambito di questo programma.

www.moneytrans.eu

www.moneytrans.eu/api

Play Store : eu.moneytrans.online

App Store : 1454021645

Regole (scoping)

I domini non esplicitamente elencati nella sezione "Domini / applicazioni" di questo programma sono considerati al di fuori dell'ambito di questo programma di bug bounty.

Ai partecipanti è severamente vietato eseguire scansioni automatiche o tentativi di forza bruta. Ciò include l'invio di più richieste automatiche che tentano diverse combinazioni o caratteri su un singolo endpoint. Inoltre, ai partecipanti è vietato effettuare più di dieci richieste al secondo.

Tous les chercheurs doivent configurer leurs outils (le cas échéant) en observant la configuration suivante :

ParametroValore
Limite di velocità richiestoMax. 5 richieste al secondo
Utente Agente utenteMT-VlnDisclosure
Intestazione della richiestaX-MT-VlnDisclosure
  • Acquisizione dell'account pre-autentico / oauth squatting.
  • Auto-XSS che non può essere utilizzato per sfruttare altri utenti.
  • Elenchi verbosi di messaggi/file/directory senza rivelare alcuna informazione sensibile.
  • Errata configurazione CORS su endpoint non sensibili.
  • Mancano i flag dei cookie.
  • Mancano le intestazioni di sicurezza.
  • Cross-site Request Forgery con impatto nullo o basso.
  • Presenza dell'attributo di completamento automatico nei moduli web.
  • Invertire il tabnabbing.
  • Bypassare i limiti tariffari o l'inesistenza di limiti tariffari.
  • Violazioni delle best practice (complessità della password, scadenza, riutilizzo, ecc.).
  • Clickjacking (tutti i casi).
  • Iniezione CSV.
  • Iniezione dell'intestazione dell'host.
  • Le sessioni non vengono invalidate (ad esempio, il logout, l'abilitazione del 2FA, la reimpostazione della password...).
  • Iniezione di collegamenti ipertestuali/takeover.
  • Problemi di tipo di contenuto misto.
  • Perdita di referer tra domini.
  • Tutto ciò che riguarda lo spoofing delle e-mail, SPF, DMARC o DKIM.
  • Iniezione di contenuto.
  • Enumerazione di nome utente / email.
  • Bombardamento di e-mail.
  • Contrabbando di richieste HTTP senza alcun impatto comprovato.
  • Attacchi di omografi.
  • XMLRPC abilitato.
  • Banner grabbing / Divulgazione della versione.
  • Aprire porte senza un proof-of-concept che dimostri la vulnerabilità.
  • Configurazioni SSL deboli e rapporti di scansione SSL/TLS.
  • Non si eliminano i metadati delle immagini.
  • Divulgazione di chiavi API senza impatto comprovato.
  • Scripting sullo stesso sito.
  • Acquisizione di un sottodominio senza rilevare il sottodominio.
  • Caricamento arbitrario di file senza prova dell'esistenza del file caricato.

Mobile

Link condivisi che sono trapelati attraverso la clipboard del sistema

URI che sono trapelati perché un’app dannosa ha ottenuto l’autorizzazione a visualizzare gli URI aperti.

Assenza di appuntatura del certificato

Dati sensibili presenti negli URL o nei corpi delle richieste, anche quando sono protetti da TLS.

Mancanza di offuscamento

Divulgazione del percorso nel binario

Mancanza di jailbreak e rilevamento di root

Arresti anomali dovuti a schemi URL malformati

Mancanza di controlli di protezione binaria (anti-debugging) e di pinning SSL mobile

Perdita di istantanee/pasteboard

Gli exploit di hacking del runtime (exploit che sono possibili solo in un ambiente jailbroken)

Perdita di chiavi API che vengono utilizzate per attività o azioni non sensibili.

Attività escluse: Questo programma non accetta segnalazioni relative ad attacchi che richiedono l’accesso fisico al dispositivo della vittima.

Generale

  • Se Moneytrans ha già identificato una vulnerabilità segnalata da un partecipante attraverso i suoi test, sarà considerata una segnalazione duplicata.
  • La gravità dei problemi di sicurezza teorici senza scenari di exploit realistici, superfici di attacco o problemi che richiedono interazioni complesse con l’utente finale per essere sfruttati, può essere ridotta o esclusa.
  • Le vulnerabilità multiple causate da un problema di fondo saranno premiate con un’unica taglia.
  • Attività escluse / non accettate:
  • Non saranno accettate segnalazioni relative a spam, social engineering, intrusioni fisiche, attacchi DoS/DDoS o attacchi di forza bruta.
  • Le vulnerabilità che interessano i browser non attuali (più vecchi di tre versioni) non saranno eleggibili per una taglia.
  • Gli attacchi che richiedono l’accesso fisico al computer o al dispositivo della vittima, gli attacchi man-in-the-middle o gli account utente compromessi non saranno accettati.
  • Le segnalazioni di vulnerabilità zero-day scoperte entro 14 giorni dal rilascio pubblico di una patch o di una mitigazione possono essere accettate, ma di solito non sono idonee per una taglia.
  • I rapporti che indicano che il software è obsoleto o vulnerabile senza fornire una prova di concetto non saranno accettati.

Come inviare le vulnerabilità

Invia le submission di vulnerabilità a [email protected]. Si prega di costruire la Prova di Concetto utilizzando il seguente modello:

## Asset [‍aggiungere la superficie di attacco di questo problema]

## Debolezza
[aggiungere il tipo di problema potenziale che avete scoperto].

## Sintesi:
[aggiungere una sintesi della vulnerabilità].

## Passi per riprodurre:
[aggiungere dettagli su come riprodurre il problema].

[aggiungi passo]

[aggiungi passo]

[aggiungi passo]

## Materiale di supporto/Riferimenti:
[elencare qualsiasi materiale aggiuntivo (ad esempio, screenshot, registri, ecc.)].

[allegato / riferimento]

Porto sicuro

Inviando le tue scoperte a Moneytrans nel rispetto di queste regole, Moneytrans si impegna ad astenersi dall’intraprendere misure legali nei tuoi confronti. In caso di mancata osservanza di queste linee guida, Moneytrans conserva tutti i diritti legali. Nel caso in cui una terza parte dovesse avviare un procedimento legale contro di voi in merito alle azioni svolte in base a questo protocollo, ci impegneremo a rendere pubblico che i tuoi sforzi sono stati eseguiti seguendo questa politica.

Porgiamo la nostra gratitudine per la tua assistenza nel sostenere la sicurezza di Moneytrans e della nostra base di clienti.

Altre considerazioni

Moneytrans non offre ricompense per le vulnerabilità scoperte. Ma può farlo:

  • Rendere pubblico, sotto forma di "Hall of Fame" sul nostro sito web aziendale pubblico, l'elenco dei ricercatori più rilevanti.
  • Moneytrans potrebbe, se necessario, fornire ai ricercatori che lo richiedono una lettera di riconoscimento delle loro competenze tecniche, del codice di condotta e di correttezza, delle scoperte e delle linee guida per la risoluzione, e/o delle scoperte quando le vulnerabilità trovate sono critiche o eccezionali. Saranno presi in considerazione anche i casi in cui la loro soluzione apporta un valore aggiunto significativo alla sicurezza informatica dell'azienda.