Kebijakan Pengungkapan Kerentanan

1. Pengantar

Trading Point Group (selanjutnya disebut “Trading Point”) menyadari pentingnya bekerja sama dengan komunitas keamanan siber untuk melindungi data pelanggan dan memberikan solusi dan aplikasi yang lebih aman. Kebijakan ini bertujuan untuk memberikan panduan yang jelas kepada peneliti keamanan dalam upaya melacak kerentanan dan menyampaikan preferensi kami mengenai cara melaporkan temuan kerentanan kepada kami.

Peneliti dipersilakan untuk melaporkan kerentanan yang terbukti terhubung dengan sistem Trading Point secara sukarela. Kebijakan ini memberikan penjelasan mengenai sistem dan jenis penelitian yang tercakup dalam kebijakan ini dan cara mengirimkan laporan kerentanan kepada kami.

Pengajuan laporan kerentanan tunduk pada syarat dan ketentuan yang ditetapkan di halaman ini dan dengan mengajukan laporan kerentanan ke Trading Point, peneliti mengakui bahwa mereka membaca dan menyetujui syarat dan ketentuan ini.

2. Syarat dan Ketentuan

2.1. Aturan Perlindungan / Otorisasi

Saat melakukan riset kerentanan, menunjukkan upaya itikad yang baik untuk mematuhi kebijakan ini, kami menganggap penelitian Anda sebagai:

  • Berwenang mengenai undang-undang anti peretasan dan kami tidak akan merekomendasikan atau mengambil tindakan hukum terhadap Anda untuk riset Anda.

  • Berwenang mengenai undang-undang anti penghindaran dan kami tidak akan menuntut Anda atas pengelakan kontrol teknologi.

  • Sah, membantu keamanan Internet secara keseluruhan dan dilakukan dengan itikad baik.

Anda diharapkan untuk mematuhi semua hukum yang berlaku. Jika tindakan hukum diajukan oleh pihak ketiga terhadap Anda atas aktivitas yang Anda lakukan dengan itikad baik sesuai dengan kebijakan ini, kami akan mengumumkan otorisasi ini.

Jika sewaktu-waktu Anda memiliki keluhan atau tidak yakin apakah riset keamanan Anda konsisten dengan kebijakan ini, silakan kirimkan laporan melalui salah satu saluran resmi kami (sebagaimana ditentukan di bawah ini) sebelum melangkah lebih jauh.

Mohon diperhatikan bahwa aturan perlindungan hanya berlaku untuk tuntutan hukum di bawah kendali organisasi yang berpartisipasi dalam kebijakan ini dan bahwa kebijakan tidak mengikat pihak ketiga yang independen.

2.2. Pedoman

Di bawah kebijakan ini, “riset” berarti aktivitas di mana Anda:

  • Memberi tahu kami secepatnya setelah Anda menemukan masalah keamanan sebenarnya atau potensial.

  • Melakukan segala upaya untuk menghindari pelanggaran privasi, degradasi pengalaman pengguna, gangguan pada sistem produksi dan perusakan atau manipulasi data.

  • Hanya menggunakan eksploit sejauh yang diperlukan untuk mengonfirmasi keberadaan kerentanan. Jangan gunakan eksploit untuk mengkompromikan atau mengekstrasikan data, membuat akses baris perintah yang persisten atau menggunakan eksploit untuk beralih ke sistem lain.

Anda juga diminta untuk:

  • Mengikuti aturan, termasuk mengikuti kebijakan ini dan persetujuan relevan yang lain. Jika terdapat ketidaksesuaian antara kebijakan ini dan ketentuan lain yang berlaku, ketentuan kebijakan ini yang akan berlaku.

  • Hanya berinteraksi dengan akun tes Anda sendiri.

  • Membatasi pembuatan akun menjadi total dua (2) untuk pengujian apa pun.

  • Menggunakan saluran resmi untuk mengungkapkan dan/atau mendiskusikan informasikan kerentanan dengan kami.

  • Mengirimkan satu kerentanan per laporan, kecuali jika Anda perlu merantai kerentanan untuk menunjukkan dampaknya.

  • Menghapus semua data yang diambil selama penelitian dengan aman setelah laporan yang dikirimkan.

  • Melakukan pengujian hanya pada sistem dalam ruang lingkup dan aktivitas yang berada di luar ruang lingkup.

  • Menghindari penggunaan alat pemindaian invasif atau otomatis yang berintesitas tinggi untuk mencari kerentanan.

  • Tidak mengungkapkan kerentanan apa pun tanpa persetujuan tertulis sebelumnya dari Trading Point.

  • Tidak melakukan tindakan serangan "Penolakan Layanan".

  • Tidak melakukan rekayasa sosial dan/atau serangan keamanan fisik terhadap kantor, pengguna atau karyawan Trading Point.

  • Tidak melakukan pengujian otomatis/skrip terhadap formulir web, terutama formulir "Hubungi Kami" yang dirancang agar pelanggan untuk menghubungi tim Pengalaman Pelanggan kami.

Setelah Anda yakin bahwa terdapat kerentanan atau secara tidak sengaja Anda menemukan data sensitif apa pun (termasuk informasi identifikasi pribadi (PII), informasi finansial, informasi hak milik atau rahasia dagang pihak mana pun), Anda harus menghentikan pengujian Anda, beri tahu kami segera dan jangan menyebarkan data ini kepada siapa pun. Anda juga harus membatasi akses Anda hingga data minimum yang diperlukan dalam pembuktian konsep secara efektif.

2.3. Melaporkan Kerentanan / Saluran Resmi

Silakan laporkan masalah keamanan atau kemungkinan dan bukti temuan kerentanan melalui vulnerability.disclosure@xmglobal.com dengan mengirimkan semua informasi yang relevan. Semakin banyak keterangan yang Anda berikan, semakin mudah bagi kami untuk melakukan triase dan menangani masalah tersebut.

Untuk membantu kami melakukan triase dan mengutamakan pengajuan, kami merekomendasikan bahwa laporan Anda:

  • Menjelaskan lokasi atau jalur aplikasi tempat kerentanan ditemukan dan potensi dampak eksploitasi.

  • Memberikan deskripsi lengkap mengenai langkah-langkah yang diperlukan untuk menghasilkan kembali kerentanan (skrip bukti konsep atau tangkapan layar sangat membantu).

  • Menyertakan detail sebanyak mungkin.

  • Menyertakan alamat IP yang Anda gunakan untuk menguji, alamat email, agen pengguna dan nama pengguna yang digunakan pada platform trading (jika ada).

  • Dalam bahasa Inggris, jika memungkinkan.

Jika menurut Anda bahwa kerentanan serius atau berisi informasi sensitif, Anda dapat mengirimkan email terenkripsi PGP kepada tim kami menggunakan kunci PGP kami.

2.4. Cakupan

a) Sistem/Layanan dalam Cakupan

Domain

https://www.xm.comhttps://my.xm.com

Aplikasi Android

Aplikasi Android XM (com.xm.webapp)

Aplikasi iOS

Aplikasi iOS XM (id1072084799)

b) Sistem/Layanan di Luar Cakupan

Semua layanan (seperti layanan terhubung), sistem, atau domain yang tidak termasuk dalam "Sistem/Layanan Tercakup" di atas tidak termasuk dalam cakupan dan tidak diizinkan untuk pengujian. Selain itu, kerentanan yang ditemukan dalam sistem dari vendor kami berada di luar cakupan kebijakan ini dan harus dilaporkan langsung ke vendor sesuai dengan kebijakan pengungkapannya (jika ada). Jika Anda tidak yakin apakah suatu sistem termasuk dalam cakupan atau tidak, hubungi kami melalui vulnerability.disclosure@xmglobal.com.

c) Kerentanan dalam Cakupan

  • Injeksi SQL

  • Pembuatan Skrip Lintas Situs (XSS)

  • Eksekusi kode jarak jauh (RCE)

  • Pemalsuan Permintaan Sisi Server (SSRF)

  • Otentikasi rusak dan manajemen sesi

  • Referensi Objek Langsung Tidak Aman (IDOR)

  • Paparan data sensitif

  • Penjelajahan direktori/jalur

  • Penyertaan File Lokal/Jarak Jauh

  • Pemalsuan Permintaan Lintas Situs (CSRF) dengan dampak tinggi yang dapat dibuktikan

  • Buka pengalihan pada parameter sensitif

  • Pengambilalihan subdomain (untuk pengambilalihan subdomain tambahkan pesan ramah seperti: "Kami sedang mengusahakannya dan kami akan segera kambali.")

d) Kerentanan di Luar Cakupan

Kerentanan tertentu dianggap di luar cakupan Program Pengungkapan Kerentanan. Kerentanan di luar cakupan tersebut termasuk, tetapi tidak terbatas pada:

  • Masalah konfigurasi email termasuk pengaturan SPF, DKIM, DMARC

  • Kerentanan clickjacking yang tidak mengarah pada tindakan sensitif, seperti modifikasi akun

  • Self-XSS (yaitu di mana pengguna perlu ditipu untuk menempelkan kode ke browser web mereka)

  • Spoofing konten yang dampaknya minimal (mis. injeksi teks non-HTML)

  • Pemalsuan Permintaan Lintas Situs (CSRF) di mana dampak yang dihasilkan minimal (mis, CSRF dalam formulir masuk atau keluar)

  • Buka pengalihan, kecuali dampak keamanan tambahan dapat ditunjukkan

  • Serangan CRLF di mana dampak yang dihasilkan minimal

  • Injeksi tajuk host di mana dampak yang dihasilkan minimal

  • Kehilangan bendera HttpOnly atau Secure pada cookie yang tidak sensitif

  • Tidak ada praktik terbaik dalam konfigurasi dan penyandian SSL/TLS

  • Header keamanan HTTP tidak ada atau salah konfigurasi (mis., CSP, HSTS)

  • Membentuk kontrol Captcha yang hilang

  • Enumerasi nama pengguna/email melalui pesan kesalahan Halaman Login

  • Enumerasi nama pengguna/email melalui pesan kesalahan Lupa Kata Sandi

  • Masalah yang membutuhkan interaksi pengguna yang tidak memungkinkan

  • Kompleksitas kata sandi atau masalah apa pun yang terkait dengan kebijakan akun atau kata sandi

  • Kurangnya batas waktu sesi

  • Serangan brutal

  • Masalah batas nilai untuk tindakan non-kritis

  • Kerentanan WordPress tanpa bukti eksploitasi

  • Pengungkapan versi perangkat lunak yang rentan tanpa bukti eksploitasi

  • Aktivitas apa pun yang dapat menyebabkan gangguan pada layanan kami (DoS)

  • Kurangnya perlindungan Root / Mengabaikan perlindungan Root (aplikasi seluler)

  • Kurangnya penyematan sertifikat SSL / Mengabaikan penyematan sertifikat SSL (aplikasi seluler)

  • Kurangnya kebingungan kode (aplikasi seluler)

2.5. Waktu Respons

Trading Point berkomitmen untuk berkoordinasi dengan Anda secara terbuka dan secepat mungkin, serta akan melakukan upaya terbaik dan memenuhi target respons berikut bagi peneliti yang berpartisipasi dalam program kami:

  • Waktu untuk tanggapan pertama (dari hari pengiriman laporan) adalah tiga (3) hari kerja. Dalam tiga hari kerja, kami akan mengetahui bahwa laporan Anda telah diterima.

  • Waktu untuk triase (dari pengiriman laporan) adalah lima (5) hari kerja.

Kami akan mengusahakan semampu kami untuk mengonfirmasikan keberadaan kerentanan kepada Anda dan setransparan mungkin mengenai langkah apa yang kami ambil selama proses perbaikan, serta masalah atau tantangan yang dapat menunda penyelesaian. Kami akan mencoba memberikan Anda informasi mengenai kemajuan kami selama proses berlangsung.

3. Hadiah

Kami menghargai mereka yang meluangkan waktu dan upaya untuk melaporkan keamanan kerentanan sesuai dengan kebijakan ini. Namun, saat ini kami tidak menawarkan hadiah apa pun untuk pengungkapan kerentanan. Hal ini dapat berubah di masa depan.

4. Umpan Balik

Jika Anda ingin memberikan masukan atau saran mengenai kebijakan ini, silakan hubungi kami melalui vulnerability.disclosure@xmglobal.com.

Terima kasih telah membantu menjaga Trading Point dan pengguna kami tetap aman.

5. Sidik jari kunci PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Unduh Kunci PGP Pengungkapan Kerentanan Trading Point

Catatan: Harap enkripsi pesan Anda dengan kunci PGP di atas dan sertakan kunci publik Anda sendiri di dalam email.