7 Anlageklassen - 10+ Trading-Plattformen - Über 1000 Finanzinstrumente
Sie wollen kein Webinar mehr verpassen? Ab sofort gibt es die Live-Weiterbildung von XM. Jetzt anschauen LIVE
Die Trading Point Group (nachfolgend „Trading Point“) hält es für wichtig, mit der Cybersecurity-Community zusammenzuarbeiten, um Kundendaten zu schützen und gemeinsam sicherere Angebote und Anwendungen zu entwickeln. Mit der vorliegenden Richtlinie möchten wir Sicherheitsexperten klare Vorgaben für die Entdeckung von Sicherheitslücken machen. Zudem informieren wir über unsere Vorstellungen, wie uns entdeckte Sicherheitslücken mitzuteilen sind.
Wir ermutigen Sicherheitsforscher, uns sicherheitsrelevante Schwachstellen im Zusammenhang mit den Systemen von Trading Point freiwillig zu melden. In dieser Richtlinie beschreiben wir, welche Systeme und Arten von Forschung unter diese Richtlinie fallen und wie Sie uns Sicherheitsschwachstellen melden können.
Die Meldung von Schwachstellen an Trading Point erfolgt gemäß den auf dieser Seite beschriebenen Bestimmungen und Bedingungen. Mit der Übermittlung von Schwachstellenberichten an Trading Point erklären sich die Sicherheitsforscher mit diesen Bestimmungen und Bedingungen einverstanden.
Zu Ihrer Tätigkeit im Bereich der Sicherheitsforschung im Rahmen dieser Richtlinie erklären wir hiermit wie folgt:
Ihrer Tätigkeit stimmen wir zu, insbesondere im Hinblick auf die gesetzlichen Bestimmungen zur Bekämpfung der Computerkriminalität. Wir werden keine zivil- oder strafrechtlichen Schritte wegen Ihrer Forschung gegen Sie einleiten.
Im Hinblick auf mögliche Verstöße gegen Gesetze zur Verhinderung der Umgehung von Schutzmaßnahmen erklären wir uns mit Ihrer Tätigkeit einverstanden. Wir werden keine rechtlichen Schritte gegen Sie wegen der Umgehung von technischen Schutzmaßnahmen einleiten.
Wir betrachten Ihre Tätigkeit als rechtmäßig, der allgemeinen Sicherheit im Internet zweckdienlich und in guter Absicht ausgeführt.
Wir erwarten von Ihnen die Einhaltung aller geltenden Gesetze. Falls ein Dritter rechtliche Schritte gegen Sie einleitet, weil Sie im Rahmen dieser Richtlinie in guter Absicht tätig gewesen sind, werden wir bekanntgeben, dass Ihre Handlungen mit unserer Genehmigung erfolgten.
Sollten Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sein, ob Ihre Sicherheitsforschung mit dieser Richtlinie vereinbar ist, melden Sie dies bitte über einen unserer unternehmenseigenen Kommunikationswege (wie unten angegeben), bevor Sie weitere Schritte unternehmen.
Der Verzicht auf Rechtsverfolgung gilt nur für rechtliche Ansprüche der Organisation, die unter dem Einflussbereich dieser Richtlinie steht. Eigenständige Dritte sind nicht an diese Richtlinie gebunden.
„Forschung“ im Sinne dieser Richtlinie umfasst Ihre folgenden Handlungen:
Sie benachrichtigen uns schnellstmöglich, wenn Sie ein reales oder potenzielles Sicherheitsproblem feststellen.
Sie unterlassen jegliche Aktionen, die zu Datenschutzverstößen, Beeinträchtigung von Nutzungsmöglichkeiten, Störung von Betriebsabläufen sowie Vernichtung oder Manipulation von Daten führen.
Verwenden Sie Exploits nur im erforderlichen Umfang, um das Bestehen einer Schwachstelle zu belegen. Nutzen Sie Exploits nicht, um Daten zu manipulieren oder abzuschöpfen. Des Weiteren dürfen Sie Exploits nicht dazu nutzen, um dauerhaften Zugang zur Kommandozeile zu erlangen oder auf andere Systeme überzugreifen.
Außerdem bitten wir Sie um die Einhaltung folgender Regeln:
Bitte befolgen Sie die Regeln, insbesondere die hier beschriebenen Richtlinien und sonstigen Vereinbarungen. Falls es Diskrepanzen zwischen dieser Richtlinie und den sonstigen geltenden Bestimmungen gibt, haben die in dieser Richtlinie festgelegten Bestimmungen Vorrang.
Beschränken Sie die Interaktion ausschließlich auf Ihre eigenen Test-Accounts.
Erstellen Sie für Testzwecke maximal zwei (2) Test-Accounts.
Melden und besprechen Sie mit uns die Schwachstellen ausschließlich über die offiziellen Kommunikationswege.
Je Bericht sollte nur eine Schwachstelle gemeldet werden. Davon ausgenommen sind Angriffsketten, deren Auswirkungen Sie verdeutlichen möchten.
Nach Übermittlung des Berichts löschen Sie bitte sämtliche Daten im Zusammenhang mit Ihrer Forschungsarbeit dauerhaft.
Führen Sie Ihre Tests bitte nur in den direkt betroffenen Systemen durch. Lassen Sie Systeme und Vorgänge außer Acht, die außerhalb des Geltungsbereichs liegen.
Setzen Sie bei der Suche nach Schwachstellen keine hochintensiven, invasiven oder automatisierten Scanning-Tools ein.
Unterlassen Sie bitte jegliche öffentliche Bekanntgabe von Schwachstellen ohne die schriftliche Einwilligung von Trading Point.
Führen Sie keinen DoS-Angriff (Denial of Service) durch.
Es ist untersagt, Social Engineering und/oder Angriffe auf die Niederlassungen, Nutzer oder Angestellten von Trading Point durchzuführen.
Führen Sie keine automatisierten/skriptbasierten Tests von Webformularen durch, insbesondere von Kontaktformularen, die der Kontaktaufnahme unserer Kunden mit dem Kundenservice dienen.
Sobald Sie das Vorliegen einer Sicherheitsschwachstelle entdecken oder wenn Sie unbeabsichtigt auf vertrauliche Daten stoßen (einschließlich personenbezogener Daten, Finanzdaten und Daten, die einem Betriebs- und Geschäftsgeheimnis einer beliebigen Person unterliegen) gilt die folgende Regelung: Sie müssen Ihre Untersuchungen einstellen und uns unverzüglich benachrichtigen. Die vertraulichen Daten dürfen Sie nicht mit Dritten teilen. Der Zugriff zu Daten im Rahmen Ihres Proof of Concept muss auf das Mindestmaß beschränkt sein.
Bitte melden Sie Sicherheitsschwachstellen sowie akute und potenzielle Sicherheitsprobleme an vulnerability.disclosure@xmglobal.com und machen Sie alle erforderlichen Angaben. Je mehr detaillierte Angaben Sie machen, desto einfacher ist es für uns, das Problem zu klassifizieren und zu beheben.
Damit wir die Meldungen genau klassifizieren und nach Priorität einstufen können, beachten Sie für Ihre Berichte bitte folgende Punkte:
Bitte beschreiben Sie den Fundort oder den Anwendungspfad, an dem die Sicherheitsschwachstelle entdeckt wurde, und erläutern Sie die möglichen Auswirkungen eines Angriffs.
Beschreiben Sie ausführlich, welche Schritte zum Reproduzieren der Schwachstelle erforderlich sind. Hilfreich sind Proof-of-Concept-Skripte oder Screenshots.
Geben Sie so viele Details wie möglich an.
Bitte geben Sie die IP-Adresse an, über welche Ihre Tests liefen sowie die E-Mail-Adresse, User Agent und den/die in der Handelsplattform verwendeten Benutzernamen (sofern zutreffend).
Reichen Sie Ihren Bericht bitte möglichst in englischer Sprache ein.
Wenn Sie der Ansicht sind, dass es sich um eine besonders kritische Sicherheitsschwachstelle handelt oder wenn vertrauliche Informationen enthalten sind, sollten Sie folgende Vorkehrung treffen: Senden Sie unserem Team eine PGP-verschlüsselte E-Mail unter Verwendung Ihres PGP-Keys.
Domains | Android-App | iOS-App |
---|---|---|
XM Android-App (com.xm.webapp) |
XM iOS-App (id1072084799) |
Alle Dienste (wie z. B. verbundene Dienste), Systeme oder Domains, die nicht ausdrücklich unter „Systeme/Dienste im Geltungsbereich“ genannt sind, befinden sich nicht im Geltungsbereich und sind für das Testen ausgeschlossen. Zudem liegen Sicherheitsschwachstellen, die in Systemen unserer Vertragspartner gefunden werden, außerhalb des Geltungsbereichs dieser Richtlinie und sollten dem Vertragspartner gemäß seiner Offenlegungsrichtlinie (sofern vorhanden) direkt gemeldet werden. Wenn Sie nicht genau wissen, ob ein System in den Geltungsbereich dieser Richtlinie fällt, schreiben Sie bitte an vulnerability.disclosure@xmglobal.com.
SQL-Injection
Cross-Site-Scripting (XSS)
Remote Code Execution (RCE)
Server-Side Request Forgery (SSRF)
Broken Authentication und Session-Management
Insecure Direct Object Reference (IDOR)
Offenlegung vertraulicher Daten
Directory/Path Traversal
Local/Remote File Inclusion
Cross-Site Request Forgery (CSRF) mit nachweislich kritischen Auswirkungen
Open Redirect bei sicherheitsrelevanten Parametern
Subdomain-Übernahme (bitte veröffentlichen Sie bei Subdomain-Übernahmen eine freundliche Nachricht, z. B. „Aufgrund von Wartungsarbeiten ist diese Seite derzeit nicht erreichbar. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut.“)
Bestimmte Sicherheitsschwachstellen liegen außerhalb des Geltungsbereiches dieser Richtlinie zur Offenlegung von Schwachstellen. Zu den Sicherheitsschwachstellen außerhalb des Geltungsbereiches gehören folgende Sachverhalte (die Aufzählung ist nicht abschließend):
Mail-Konfigurationsprobleme wie SPF, DKIM, DMARC-Einstellungen
Clickjacking-Schwachstellen, die nicht zu kritischen Aktionen führen (z. B. Veränderung von Konten)
Self-XSS (d. h. Nutzer werden dazu gebracht, Code in ihre Webbrowser einzufügen)
Content-Spoofing mit geringen Auswirkungen (z. B. Text-Injection ohne HTML)
Cross-Site Request Forgery (CSRF) mit geringen Auswirkungen (z. B. CSRF in Login- oder Logout-Formularen)
Open Redirect, sofern nicht eine zusätzliche Sicherheitsbeeinträchtigung nachgewiesen wird
CRLF-Angriffe mit geringen Auswirkungen
Host-Header-Injection mit geringen Auswirkungen
Fehlendes HttpOnly oder Secure Flags bei nicht sicherheitsrelevanten Cookies
Fehlerhafte Vorgehensweisen bei SSL/TLS-Konfiguration und Ciphers
Fehlende oder mangelhaft konfigurierte HTTP-Security-Header (z. B. CSP, HSTS)
Fehlende Captcha-Überprüfung in Formularen
Auslesen von Benutzername oder E-Mail-Adresse über Fehlermeldung auf der Login-Seite
Auslesen von Benutzername oder E-Mail-Adresse über Fehlermeldung auf der Seite für Passwortwiederherstellung
Probleme, die wahrscheinlich keine Benutzerinteraktion voraussetzen
Passwortbeschaffenheit oder sonstige Aspekte im Zusammenhang mit Konto- oder Passwortrichtlinien
Fehlender Session-Timeout
Brute-Force-Angriffe
Probleme mit Durchsatzratenbegrenzung für unkritische Aktionen
WordPress-Schwachstellen ohne Nachweis der Angreifbarkeit
Offenlegung von Schwachstellen bestimmter Softwareversionen ohne Nachweis der Angreifbarkeit
Jede Tätigkeit, die zur Unterbrechung unseres Dienstes (DoS) führen könnte
Fehlender Root-Schutz oder Umgehung von Root-Schutz bei mobilen Anwendungen
Fehlendes Pinning bei SSL-Zertifikaten / Umgehen des Pinnings von SSL-Zertifikaten (mobile Anwendungen)
Fehlende Code-Obfuskation (mobile Anwendungen)
Trading Point setzt auf eine offene und zeiteffiziente Zusammenarbeit mit Ihnen. Für Sicherheitsforscher in unserem Projekt haben wir uns hinsichtlich der Antwortzeiten folgende Ziele gesetzt:
Die Zeit bis zur ersten Antwort (ab dem Zeitpunkt der Übermittlung des Berichts) beträgt drei (3) Werktage. Innerhalb von drei Werktagen werden wir Ihnen den Eingang Ihrer Meldung bestätigen.
Bis zur Klassifizierung (ab dem Zeitpunkt der Meldung) vergehen fünf (5) Werktage.
Wir bestätigen Ihnen nach bestem Wissen und Gewissen das Vorliegen der Schwachstelle und geben Ihnen mit größtmöglicher Transparenz Auskunft über die Maßnahmen, die wir zur Behebung der Schwachstelle ergreifen. Auch über die Probleme oder Herausforderungen, die eine Behebung verzögern könnten, werden wir Sie in Kenntnis setzen. Während des gesamten Verfahrens werden wir versuchen, Sie über unseren Fortschritt zu informieren.
Wir wissen die Arbeit und die Zeit derjenigen zu schätzen, die Sicherheitsschwachstellen im Sinne dieser Richtlinie melden. Gegenwärtig bieten wir jedoch keine Belohnungen für die Meldung von Sicherheitsschwachstellen an. In Zukunft kann sich dies jedoch ändern.
Möchten Sie uns gerne ein Feedback oder Vorschläge zu dieser Richtlinie geben? Schreiben Sie uns an vulnerability.disclosure@xmglobal.com.
Vielen Dank, dass Sie zur Sicherheit von Trading Point und unseren Usern beitragen.
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Download des PGP-Keys für die Offenlegung von Schwachstellen bei Trading Point
Hinweis: Bitte verschlüsseln Sie Ihre Nachrichten mit dem obigen PGP-Schlüssel und teilen Sie in der E-Mail Ihren eigenen privaten Schlüssel mit.
Risikowarnung: Es bestehen Risiken für Ihr eingesetztes Kapital. Gehebelte Produkte sind nicht für alle Anleger geeignet. Bitte beachten Sie unseren Risikohinweis.