Náš závazek k bezpečnosti

MoneyLead bere bezpečnost vážně. Vážíme si práce bezpečnostních výzkumníků, kteří nám pomáhají chránit naše uživatele a vylepšovat naše systémy. Tato stránka popisuje naše zásady pro zveřejňování bezpečnostních zranitelností a jak zodpovědně hlásit bezpečnostní problémy.

Rozsah

V rozsahu:

  • moneylead.gg a všechny subdomény
  • Všechny veřejně přístupné webové aplikace
  • Všechny koncové body API
  • Mechanismy ověřování a autorizace
  • Zabezpečení ukládání a přenosu dat

Mimo rozsah:

  • Útoky sociálního inženýrství
  • Testy fyzické bezpečnosti
  • Útoky typu Denial of Service (DoS/DDoS)
  • Služby třetích stran (GitHub, poskytovatelé CDN atd.)
  • Spam nebo útoky na sociálních sítích

Jak nahlásit

Při hlášení bezpečnostní zranitelnosti prosím uveďte:

  1. Popis - Jasné vysvětlení zranitelnosti
  2. Kroky k reprodukci - Podrobné kroky k reprodukci problému
  3. Dopad - Potenciální dopad na bezpečnost a dotčení uživatelé
  4. Ověření konceptu - Jakýkoli kód PoC nebo snímky obrazovky
  5. životní prostředí - Prohlížeč, operační systém a další relevantní podrobnosti
  6. Vaše kontaktní informace - Jak vás můžeme kontaktovat pro další informace

Tip: V případě citlivých informací prosím zašifrujte svůj e-mail pomocí našeho PGP klíče.

Časová osa odezvy

1️⃣ Počáteční odezva - Do 48 hodin od podání zprávy
2️⃣ Aktualizace stavu - Do 7 dnů s výsledky triáže
3️⃣ Časová osa rozlišení - Záleží na závažnosti (oznámeno po triáži)
4️⃣ prozrazení - Koordinované zveřejnění po nasazení opravy

Bezpečný přístav

Bezpečnostní výzkum prováděný v souladu s těmito zásadami považujeme za:

  • (Tj. Autorizovaný v souladu s platnými zákony
  • (Tj. Osvobozeno z omezení Podmínek služby, která by mohla narušit výzkum
  • (Tj. Zákonné a užitečné pro bezpečnost našich systémů

Nebudeme podnikat právní kroky proti výzkumníkům, kteří:

  • V dobré víře se snažte vyhnout narušení soukromí a narušení provozu.
  • Komunikujte pouze s účty, které vlastníte, nebo s výslovným povolením
  • Nezneužívejte zranitelnosti nad rámec ověření konceptu.
  • Okamžitě nahlaste zranitelnosti
  • Uchovávejte podrobnosti o zranitelnosti v tajnosti, dokud je nevyřešíme

Šifrování

Pro bezpečnou komunikaci o citlivých zranitelnostech použijte prosím náš veřejný klíč PGP k šifrování vašich zpráv:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Naše klíčové detaily:

  • Typ: RSA 4096bitový
  • otisk: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Vyprší: 2027-10-14

Poděkování

Věříme v uznání bezpečnostních výzkumníků, kteří nám pomáhají zlepšovat naši bezpečnost. Výzkumníci, kteří zodpovědně zveřejňují zranitelnosti, mohou být:

  • Veřejně uvedeno na našich webových stránkách (s laskavým svolením)
  • Přidáno do naší bezpečnostní síně slávy
  • Dodáváno s dárkovou poukázkou nebo jiným uznáním

Poznámka: V současné době nenabízíme program odměn za nalezené chyby, ale velmi si vážíme zodpovědného zveřejňování a poděkujeme za vaše příspěvky.