Policy för rapportering av sårbarheter

1. Inledning

Trading Point Group (nedan kallat ”Trading Point”) inser att det finns ett behov av att samverka med cybersäkerhetsaktörer för att skydda kunddata och samarbeta för att skapa säkrare lösningar och applikationer. Denna policy syftar till att ge säkerhetsexperter tydliga riktlinjer för hur arbetet med att upptäcka sårbarheter ska utföras samt informera om hur vi önskar bli informerade om upptäckta sårbarheter.

Experter får gärna frivilligt rapportera de sårbarheter de kan hitta i anslutning till Trading Points olika system. I denna policy beskrivs vilka system och analyskategorier som omfattas av denna policy och hur man ska lämna in sårbarhetsrapporter till oss.

Inlämningen av sårbarhetsrapporter omfattas av de villkor som anges på denna sida. Genom att lämna in en sårbarhetsrapport till Trading Point bekräftar experterna också att de har läst och godkänt dessa villkor.

2. Villkor

2.1. Safe harbor/tillstånd

Vid en sårbarhetsanalys, som utförs med gott uppsåt i enlighet med denna policy, anser vi att din analys är:

  • Tillåten sett till eventuell tillämplig antihackningslagstiftning och vi kommer inte att rekommendera eller vidta rättsliga åtgärder mot dig för din analys.

  • Tillåten sett till eventuell relevant lagstiftning mot kringgående och vi kommer inte att resa krav mot dig för kringgående av teknikkontroller.

  • Laglig, bidragande till övergripande internetsäkerhet samt utförd med gott uppsåt.

Du förväntas följa all tillämplig lagstiftning. Om tredje part vidtar rättsliga åtgärder mot dig för aktiviteter som du har utfört med gott uppsåt i enlighet med denna policy, kommer vi att informera om detta tillstånd.

Om du någon gång har betänkligheter eller känner dig osäker på om din säkerhetsanalys är förenlig med denna policy, ber vi dig att lämna en rapport via någon av våra officiella kanaler (som anges här nedan) innan du fortsätter.

Observera att safe harbor enbart gäller för rättsliga anspråk som kontrolleras av den organisation som utgör part till denna policy samt att policyn inte är bindande för oberoende tredje part.

2.2. Riktlinjer

Med "analys" avses i denna policy aktiviteter där du gör följande:

  • Underrättar oss så snart som möjligt när du har upptäckt ett faktiskt eller potentiellt säkerhetsproblem.

  • Gör ditt yttersta för att undvika integritetsintrång, försämringar av användarupplevelsen, störningar i produktionssystem samt radering eller manipulation av data.

  • Enbart använder exploits i den omfattning som krävs för att bekräfta att det föreligger en sårbarhet och inte använder exploits för att skada eller exfiltrera data, upprätta ständig åtkomst till kommandotolken eller pivotera till andra system.

Du uppmanas även att göra följande:

  • Följa reglerna, inbegripet denna policy och eventuella andra relevanta avtal. Om det förekommer några skillnader mellan denna policy och andra tillämpliga villkor, ska villkoren i denna policy ha företräde.

  • Enbart interagera med dina egna testkonton.

  • Begränsa antalet skapade konton till max två (2) konton för testning.

  • Enbart använda officiella kanaler för att rapportera och/eller diskutera sårbarhetsinformation med oss.

  • Lämna en rapport per sårbarhet, om du inte behöver länka sårbarheter för att visa på påverkan.

  • På ett säkert sätt radera alla data som har hämtats under analysen när rapporten är lämnad.

  • Utföra testning enbart på de system som omfattas samt respektera system och aktiviteter som inte omfattas.

  • Undvika att använda invasiva eller automatiserade skanningverktyg med hög intensitet för att hitta sårbarheter.

  • Inte offentliggöra någon sårbarhet utan att Trading Point först har lämnat skriftligt samtycke.

  • Inte utföra denial-of-service-attacker.

  • Inte utföra social manipulering och/eller fysiska säkerhetsattacker mot Trading Points kontor, användare eller anställda.

  • Inte utföra automatiserad/skriptad testning av webbformulär, särskilt kontaktformulär som är utformade för att kunder ska kontakta vårt kundupplevelseteam.

Om du har fastställt att det föreligger en sårbarhet eller oavsiktligt har stött på känsliga data (däribland personligt identifierande information (PII), finansiell information, äganderättsligt skyddad information eller handelshemligheter för någon part), måste du upphöra med ditt test, omedelbart underrätta oss och inte röja dessa data för någon annan. Du bör även begränsa din åtkomst till minsta möjliga antal data du behöver för att på ett effektivt sätt kunna visa att konceptet håller.

2.3. Rapportering av sårbarhet/officiella kanaler

Rapportera säkerhetsproblem/faktiska eller potentiella säkerhetsfynd via vulnerability.disclosure@xmglobal.com och lämna all relevant information. Ju fler detaljer du lämnar, desto lättare blir det för oss att klassificera och åtgärda problemet.

För att hjälpa oss att klassificera och prioritera inkomna uppgifter rekommenderar vi att dina rapporter:

  • Beskriver plats eller applikationsväg där sårbarheten upptäcktes och potentiell påverkan av ett utnyttjande.

  • Ger en detaljerad beskrivning av de steg som behövs för att reproducera sårbarheten (här är det till hjälp med skript eller skärmbilder som visar att konceptet håller).

  • Innehåller så mycket information som möjligt.

  • Innehåller den IP-adress som du genomfört testningen från, e-postadress, användaragent och vilket/vilka användarnamn som använts i tradingplattformen (i förekommande fall).

  • Om möjligt är skrivna på engelska.

Om du bedömer att sårbarheten är allvarlig eller omfattar känslig information, kan du skicka ett PGP-krypterat mejl till vårt team med hjälp av vår PGP-nyckel.

2.4. Omfattning

a) System/tjänster som omfattas:

Domäner Android-app iOS-app

https://www.xm.com/se

https://my.xm.com/se

XM Android-applikation (com.xm.webapp)

XM iOS-applikation (id1072084799)

b) System/tjänster som inte omfattas:

Alla tjänster (t.ex. anslutna tjänster), system eller domäner som inte uttryckligen anges under "System/tjänster som omfattas” ovan är uteslutna från omfattningen och inte godkända för testning. Eventuella sårbarheter som hittas i system från våra leverantörer omfattas inte av denna policy och bör rapporteras direkt till leverantören i enlighet med dennes (eventuella) rapporteringspolicy. Om du är osäker på om ett system omfattas eller ej, kontakta oss på vulnerability.disclosure@xmglobal.com.

c) Sårbarheter som omfattas:

  • SQL-injektion

  • Cross-Site Scripting (XSS)

  • Kodexekvering på distans (RCE)

  • Förfalskning av förfrågningar på serversidan (SSRF)

  • Bristande autentisering och sessionshantering

  • Osäker direkt objektreferens (IDOR)

  • Exponering av känsliga data

  • Traversering av filsystem/sökväg

  • Local/remote file inclusion-attack

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) med påvisbar hög påverkan

  • Öppen omdirigering vad gäller känsliga parametrar

  • Övertagande av underdomän (lägg i så fall till ett vänligt meddelande, t.ex. "Vi arbetar med detta och är snart tillbaka.")

d) Sårbarheter som inte omfattas:

Vissa sårbarheter anses ligga utanför omfattningen för programmet för rapportering av sårbarheter. Här följer en icke-uttömmande uppräkning av sårbarheter som ej omfattas:

  • Problem med e-postkonfigurering, inklusive SPF-, DKIM- och DMARC-inställningar

  • Clickjacking-sårbarheter som inte leder till känsliga åtgärder, t.ex. kontomodifiering

  • Self-XSS (dvs. där en användare skulle behöva luras att klistra in kod i sin webbläsare)

  • Content spoofing som leder till minimal påverkan (t.ex. textinjektion som inte avser HTML)

  • Förfalskning av förfrågningar mellan webbplatser (CSRF) som leder till minimal påverkan (t.ex. CSRF i inloggnings- eller utloggningsformulär)

  • Öppen omdirigering – om inte ytterligare säkerhetspåverkan kan uppvisas

  • CRLF-attacker som leder till minimal påverkan

  • Host header-injektion som leder till minimal påverkan

  • Avsaknad av HttpOnly- eller Secure-flaggor för icke-känsliga cookies

  • Avsaknad av bästa praxis för SSL/TLS-konfigurering och -kryptering

  • Avsaknad eller felkonfigurering av HTTP-säkerhetshuvuden (t.ex. CSP, HSTS)

  • Formulär som saknar CAPTCHA-kontroller

  • Enumeration av användarnamn/e-postadress via Login Page-felmeddelande

  • Enumeration av användarnamn/e-postadress via Forgot Password-felmeddelande

  • Problem som kräver osannolik användarinteraktion

  • Lösenordskomplexitet eller annat problem som rör konto- eller lösenordspolicyer

  • Avsaknad av sessionstimeout

  • Brute force-attacker

  • Problem som rör hastighetsbegränsning för icke-kritiska åtgärder

  • WordPress-sårbarheter utan styrkt utnyttjbarhet

  • Rapportering som rör sårbar programvaruversion utan styrkt utnyttjbarhet

  • Varje aktivitet som skulle kunna leda till störning av vår tjänst (DoS)

  • Avsaknad av rootskydd/kringgående av rootskydd (mobilapplikationer)

  • Avsaknad av SSL-certifikatpinning/kringgående av SSL-certifikatpinning (mobilapplikationer)

  • Avsaknad av kodförvrängning (mobilapplikationer)

2.5. Responstider

Trading Point förbinder sig att så öppet och snabbt som möjligt utföra samordning med dig och kommer att göra sitt yttersta för att uppfylla följande responsmål för experter som deltar i vårt program:

  • Tid till första respons (räknat från dagen då rapporten lämnades) är tre (3) affärsdagar. Inom tre affärsdagar kommer vi att bekräfta att din rapport är mottagen.

  • Tid till triagering (räknat från dagen då rapporten lämnades) är fem (5) affärsdagar.

Vi kommer att bekräfta förekomst av sårbarheter för dig efter bästa förmåga och vara så transparenta som möjligt om vilka åtgärder vi vidtar för att komma till rätta med det hela samt vilka problem eller utmaningar som kan fördröja vårt arbete. Vi kommer att eftersträva att hålla dig underrättad om hur vårt arbete fortskrider under hela processen.

3. Belöningar

Vi sätter stort värde på dem som lägger tid och arbete på att rapportera säkerhetssårbarheter i enlighet med denna policy. I nuläget erbjuder vi dock inga belöningar för säkerhetsrapportering. Detta kan komma att förändras framöver.

4. Återkoppling

Om du vill lämna återkoppling eller förslag rörande denna policy, kontakta oss via vulnerability.disclosure@xmglobal.com.

Tack för att du hjälper oss att skydda Trading Point och våra användare.

5. Fingeravtryck för PGP-nyckel

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Ladda ner PGP-nyckeln för TP:s sårbarhetsrapportering

Obs: Var vänlig kryptera dina meddelanden med PGP-nyckeln ovan och inkludera din egen offentliga nyckel i mejlet.

Vi använder cookies för att ge dig den bästa upplevelsen på vår webbplats. Läs mer eller ändra dina cookie-inställningar.

Riskvarning: Ditt kapital riskeras. Hävstångsprodukter passar kanske inte alla. Se vår riskinformation.