Openbaar beleid voor het openbaar maken van kwetsbaarheden
Beschrijving
Moneytrans is een fintechbedrijf dat zich inzet voor het bevorderen van diversiteit en financiële inclusie. Wij begrijpen het belang van het handhaven van hoge IT-beveiligingsnormen en waarderen de steun van IT-beveiligingsonderzoekers en leden van cyberbeveiligingsgemeenschappen bij het bereiken van dit doel. Als u een kwetsbaarheid in de IT-beveiliging ontdekt in een van onze applicaties, vragen wij u om ons zo snel mogelijk op de hoogte te stellen voordat u het probleem openbaar maakt. Dit wordt verantwoordelijke openbaarmaking genoemd, zodat wij de nodige maatregelen kunnen nemen om het probleem aan te pakken. In dit document vinden onderzoekers alle informatie die nodig is om deze activiteiten uit te voeren op een manier die voor beide partijen voordelig en veilig kan zijn.
Richtlijnen
Houd rekening met de algemene richtlijnen van dit beleid.
Breng ons onmiddellijk op de hoogte nadat u een echt of potentieel beveiligingsprobleem hebt ontdekt.
Doe er alles aan om privacy schendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
Maak alleen gebruik van exploits voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen.
Geef ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat u het publiekelijk bekend maakt.
U brengt de privacy of veiligheid van Moneytrans-personeel of derden niet opzettelijk in gevaar.
U brengt niet opzettelijk het intellectuele eigendom of andere commerciële of financiële belangen van personeel, entiteiten of derden van Moneytrans in gevaar.
Nadat u de aanwezigheid van een kwetsbaarheid heeft bevestigd of wanneer u gevoelige gegevens tegenkomt (zoals persoonlijk identificeerbare informatie, financiële gegevens of bedrijfseigen informatie, inclusief bedrijfsgeheimen die toebehoren aan een entiteit), moet u stoppen met testen, ons onmiddellijk op de hoogte stellen en deze niet delen. gegevens met andere personen of partijen.
In Toepassingsgebied
We leveren voortdurend aanzienlijke inspanningen om de problemen die we kennen aan te pakken en te voorkomen dat er nieuwe problemen ontstaan. De ICT-omgeving evolueert echter voortdurend, net als de kwetsbaarheden op het gebied van cyberbeveiliging.
Hoewel we ons voornamelijk richten op informatie- en API-beveiliging, is de beveiliging van de gegevens van onze klanten van het grootste belang. Daarom zijn we vooral geïnteresseerd in inzendingen met betrekking tot het volgende:
- Onbevoegde toegang.
- Lekken van gegevens.
- Toegang hebben tot persoonlijke en/of contactgegevens van klanten die niet bij de ingelogde gebruiker horen.
- Toegang tot bankrekeningnummers van saldi die niet aan de ingelogde gebruiker toebehoren.
- In het algemeen, de mogelijkheid om toegang te krijgen tot gegevens die niet toebehoren aan de ingelogde gebruiker.
- Pogingen tot accountovername.
- Problemen met sessiebeheer.
Kwetsbaarheidsclassificatie
De uiteindelijke beoordeling van de ernst van een kwetsbaarheid kan alleen worden vastgesteld na een uitgebreide evaluatie door de beveiligingsmedewerkers en analisten.
Moneytrans gebruikt de CVSS v3-industrienorm als basismaatstaf voor het bepalen van de ernst van het probleem. Ongeacht de numerieke score moeten mogelijke factoren die het risico verhogen of verlagen in overweging worden genomen in het licht van de verstrekte contextuele details.
Meer details over de scoringsmethodologie kunt u hier bekijken:
Kwetsbaarheden die kunnen leiden tot potentiële inkomstenverliezen zijn inherent context gebonden, vooral in gevallen waarin aanvallers niet direct financieel voordeel behalen (bijv. het omzeilen van een betalingsbarrière). Evenzo kunnen kwetsbaarheden in zeer gevoelige of blootgestelde bedrijfsonderdelen indirecte gevolgen hebben, zoals reputatieschade. Moneytrans zou ervoor kunnen kiezen om een kwetsbaarheid opnieuw te classificeren wanneer onze zakelijke contextuele factoren een rol spelen die het risico verminderen of versterken.
Telkens wanneer een business impact modifier wordt gebruikt, wordt deze transparant gecommuniceerd naar de onderzoeker. Deze modifier kan de ernstscore die door de CVSSv3-calculator wordt berekend met maximaal één categorie verlagen. Toch heeft het de potentie om de score tot elke categorie te verhogen.
Kwetsbaarheidsbeoordelingen
Ernstclassificatie
CVSS v3 score
Geen
0.0
Laag
0.1 - 3.9
Medium
4.0 - 6.9
Hoog
7.0 - 8.9
Kritisch
9.0 - 9.4
Uitzonderlijk
9.5 - 10.0
Soort insect
Ernst (basis)
Gereflecteerde HTML-injectie
Laag
HTML-injectie in e-mails
Laag
Onthulde PHP info/debug pagina
Laag
E-mail verificatie omzeilen
Laag
Open redirect zonder extra impact
Laag
Kaping van gebroken links (links met veel verkeer)
Laag
Uitzonderingen
Sommige kwetsbaarheden kunnen slechts een kleine impact hebben op individuele CVSS v3 statistieken zoals hierboven beschreven, zodat ze geen severity upgrade rechtvaardigen. We hebben deze randgevallen hieronder beschreven zodat u weet welke ernstbeoordeling u kunt verwachten:
Service Level Overeenkomst
Wij valideren alle inzendingen binnen de onderstaande tijdlijnen (zodra het IT-beveiligingsteam van Moneytrans uw inzending heeft geverifieerd)
*Werkdagen: Ma-vr, 9 am-5 pm (CET).
Ernst
Max. Vertraging
Uitzonderlijk
Drie werkdagen
Kritisch
Vijf werkdagen
Hoog
Tien werkdagen
Medium
14 werkdagen
Laag
14 werkdagen
Domeinen / apps
De volgende domeinen en mobiele toepassingen vallen binnen het bereik van dit programma.
Regels (verkennen)
Domeinen die niet expliciet in het gedeelte "Domeinen / apps" van dit programma worden genoemd, vallen buiten het bereik van dit bug bounty-programma.
Het is deelnemers ten strengste verboden om geautomatiseerde scans of brute-force pogingen uit te voeren. Dit omvat het verzenden van meerdere geautomatiseerde verzoeken waarbij verschillende combinaties of tekens op een enkel eindpunt worden geprobeerd. Daarnaast is het deelnemers verboden om meer dan tien verzoeken per seconde te doen..
Alle onderzoekers moeten hun tooling (indien van toepassing) configureren door de volgende configuratie in acht te nemen:
| Parameter | Waarde |
| Limiet voor aanvraagsnelheid | Max. 5 verzoeken / seconde |
| Gebruiker Gebruiker agent | MT-VlnDisclosure |
| Koptekst verzoek | X-MT-VlnDisclosure |
- Pre-auth accountovername / eed-kraak
- Zelf-XSS dat niet kan worden gebruikt om andere gebruikers uit te buiten.
- Uitgebreide berichten/bestanden/map overzichten zonder gevoelige informatie vrij te geven.
- CORS misconfiguratie op niet-gevoelige eindpunten.
- Ontbrekende cookie-vlaggen.
- Ontbrekende beveiligingsheaders.
- Cross-site Request Forgery met geen of weinig impact.
- Aanwezigheid van het kenmerk autoaanvullen op webformulieren.
- Omgekeerde tabnabben.
- Het omzeilen van tarieflimieten of het niet bestaan van tarieflimieten.
- Overtredingen van best practices (complexiteit van wachtwoorden, verlopen, hergebruik, etc.).
- Clickjacking (alle gevallen).
- CSV-injectie.
- Host Header Injectie.
- Sessies worden niet ongeldig gemaakt (bijv. uitloggen, 2FA inschakelen, inclusief wachtwoord resetten ...).
- Hyperlink injectie/overname.
- Gemengde inhoudstype problemen.
- Refererlekkage over domeinen heen.
- Alles met betrekking tot e-mailspoofing, SPF, DMARC of DKIM.
- Inhoud injectie.
- Gebruikersnaam / e-mail opsomming.
- E-mail bombardement.
- HTTP verzoeksmokkel zonder bewezen impact.
- Aanvallen met homografen.
- XMLRPC ingeschakeld.
- Banner grijpen / Versie openbaar maken.
- Poorten openen zonder een bijbehorend proof-of-concept dat de kwetsbaarheid aantoont.
- Zwakke SSL-configuraties en SSL/TLS scanrapporten.
- Metadata niet van afbeeldingen strippen.
- API-sleutels vrijgeven zonder bewezen impact.
- Same-site scripting.
- Subdomeinovername zonder het subdomein over te nemen.
Mobiel
- Gedeelde links die via het klembord van het systeem zijn gelekt
- URI’s die gelekt zijn omdat een kwaadwillende app toestemming heeft gekregen om geopende URI’s te bekijken
- Afwezigheid van certificaatspelden
- Gevoelige gegevens in URL’s of verzoekorganen, zelfs als deze beveiligd zijn met TLS
- Gebrek aan vertroebeling
- Verwijdering van paden in de binaire bestanden
- Gebrek aan jailbreak- en rootdetectie
- Crashes door misvormde URL-schema’s
- Gebrek aan binaire beschermingscontroles (anti-debugging) en mobiele SSL-pinning
- Lekkage snapshot/plakbord
- Runtime hacking exploits (exploits die alleen mogelijk zijn in een gejailbreakte omgeving)
- Lekken van API-sleutels die worden gebruikt voor ongevoelige activiteiten of acties
- Uitgesloten activiteiten: Dit programma accepteert geen meldingen over aanvallen waarbij fysieke toegang tot het apparaat van het slachtoffer vereist is.
Algemeen
- Als Moneytrans al een kwetsbaarheid heeft geïdentificeerd die door een deelnemer via hun tests is gemeld, wordt dit beschouwd als een dubbel rapport.
- De ernst van theoretische beveiligingsproblemen zonder realistische exploitatiescenario’s, aanvalsoppervlakken of problemen die complexe interacties met eindgebruikers vereisen om te worden geëxploiteerd, kan worden verminderd of uitgesloten.
- Meerdere kwetsbaarheden die veroorzaakt worden door één onderliggend probleem krijgen één bounty.
- Uitgesloten activiteiten / niet geaccepteerd:
- Meldingen met betrekking tot spam, social engineering, fysieke inbraak, DoS/DDoS-aanvallen of brute force-aanvallen worden niet geaccepteerd.
- Kwetsbaarheden die van invloed zijn op niet-actuele browsers (ouder dan drie versies) komen niet in aanmerking voor een bounty.
- Aanvallen waarvoor fysieke toegang tot de computer of het apparaat van het slachtoffer nodig is, man-in-the-middle-aanvallen of gecompromitteerde gebruikersaccounts worden niet geaccepteerd.
- Meldingen van ‘zero-day’-kwetsbaarheden die binnen 14 dagen na de openbare release van een patch of mitigatie worden ontdekt, kunnen worden geaccepteerd, maar komen meestal niet in aanmerking voor een bounty.
- Rapporten die aangeven dat de software verouderd of kwetsbaar is zonder bewijs van het concept te leveren, worden niet geaccepteerd.
Hoe kwetsbaarheden indienen
Stuur de ingediende kwetsbaarheden naar [email protected]. Maak het Proof of Concept aan de hand van de volgende sjabloon:
## Activa [het aanvalsoppervlak van dit probleem toevoegen]
## Zwakte
[voeg het type toe van het potentiële probleem dat u hebt ontdekt].
## Samenvatting:
[voeg een samenvatting van de kwetsbaarheid toe]
## Stappen om te reproduceren:
[voeg details toe over hoe we het probleem kunnen reproduceren].
[stap toevoegen]
[stap toevoegen]
[stap toevoegen]
## Ondersteunend materiaal/referenties:
[vermeld eventueel aanvullend materiaal (bijv. schermafbeeldingen, logbestanden, enz.)].
[bijlage / referentie]
Veilige haven
Door uw ontdekkingen volgens deze regels bij Moneytrans in te dienen, verplicht Moneytrans zich af te zien van juridische maatregelen tegen u. In het geval dat deze richtlijnen niet worden nageleefd, behoudt Moneytrans alle wettelijke rechten. Mocht een derde partij gerechtelijke stappen tegen u ondernemen over acties die onder dit protocol zijn uitgevoerd, dan zullen wij ons inspannen om bekend te maken dat uw inspanningen volgens dit beleid zijn uitgevoerd.
Wij willen u bedanken voor uw hulp bij het handhaven van de veiligheid van Moneytrans en ons klantenbestand.
Andere overwegingen
Moneytrans biedt geen premies voor de ontdekte kwetsbaarheden. Maar het kan wel:
- Maak de lijst van de meest relevante onderzoekers openbaar in de vorm van een "Hall of Fame" op onze openbare bedrijfswebsite.
- Moneytrans kan, indien nodig, de onderzoekers die hierom vragen een brief geven waarin hun technische vaardigheden, gedragscode en eerlijkheid, richtlijnen voor ontdekkingen en oplossingen, en/of bevindingen worden erkend wanneer de gevonden kwetsbaarheden kritiek of uitzonderlijk zijn. Belangrijke kwesties zullen ook in overweging worden genomen als hun oplossing aanzienlijk waarde toevoegt aan de cyberbeveiliging van het bedrijf.
Moneytrans behoudt zich het recht voor om particuliere bug-bountyprogramma's te creëren, waarvoor Moneytrans een geselecteerde groep onderzoekers zal uitnodigen om cyberbeveiligingstests of ethische hackingactiviteiten uit te voeren om de IT-cyberbeveiliging van Moneytrans te versterken.
Hieronder vindt u een belangrijke bron om inzicht te krijgen in het nieuwe kader dat de Belgische autoriteiten mogelijk hebben gemaakt met betrekking tot het openbaar maken van kwetsbaarheden in cyberbeveiliging:
Nieuw wettelijk kader voor het melden van IT-kwetsbaarheden | Centrum voor Cyberveiligheid België
Neem contact met ons op
HELPCENTRUM
Je hebt 24/7 vragen en wij zijn 24/7 beschikbaar
