Ein Hymrwymiad i Ddiogelwch

Mae MoneyLead yn cymryd diogelwch o ddifrif. Rydym yn gwerthfawrogi gwaith ymchwilwyr diogelwch sy'n ein helpu i amddiffyn ein defnyddwyr a gwella ein systemau. Mae'r dudalen hon yn amlinellu ein polisi datgelu bregusrwydd diogelwch a sut i roi gwybod am broblemau diogelwch yn gyfrifol.

Cwmpas

O fewn Cwmpas:

  • moneylead.gg a'r holl is-barthau
  • Pob cymhwysiad gwe sy'n wynebu'r cyhoedd
  • Pob pwynt terfyn API
  • Mecanweithiau dilysu ac awdurdodi
  • Diogelwch storio a throsglwyddo data

Allan o'r Cwmpas:

  • Ymosodiadau peirianneg gymdeithasol
  • Profion diogelwch corfforol
  • Ymosodiadau Gwrthod Gwasanaeth (DoS/DDoS)
  • Gwasanaethau trydydd parti (GitHub, darparwyr CDN, ac ati)
  • Sbam neu ymosodiadau cyfryngau cymdeithasol

Sut i Adrodd

Wrth roi gwybod am wendid diogelwch, cofiwch gynnwys:

  1. Disgrifiad - Esboniad clir o'r bregusrwydd
  2. Camau i Atgynhyrchu - Camau manwl i atgynhyrchu'r broblem
  3. Effaith - Effaith bosibl ar ddiogelwch a defnyddwyr yr effeithir arnynt
  4. Prawf o Gysyniad - Unrhyw god PoC neu sgrinluniau
  5. Yr amgylchedd - Porwr, system weithredu, a manylion perthnasol eraill
  6. Eich Gwybodaeth Gyswllt - Sut allwn ni gysylltu â chi i gael cyswllt dilynol

Tip: Ar gyfer gwybodaeth sensitif, amgryptiwch eich e-bost gan ddefnyddio ein allwedd PGP.

Amserlen Ymateb

1️⃣ Ymateb Cychwynnol - O fewn 48 awr i gyflwyno'r adroddiad
2️⃣ Diweddariad Statws - O fewn 7 diwrnod gyda chanlyniadau triage
3️⃣ Llinell Amser Datrysiad - Yn dibynnu ar ddifrifoldeb (wedi'i gyfleu ar ôl dosbarthu)
4️⃣ Datgelu - Datgeliad cydlynol ar ôl i'r atgyweiriad gael ei ddefnyddio

Harbwr Diogel

Rydym yn ystyried ymchwil diogelwch a gynhelir yn unol â'r polisi hwn fel:

  • Awdurdodwyd yn unol â'r cyfreithiau perthnasol
  • Eithriedig o gyfyngiadau Telerau Gwasanaeth a fyddai'n ymyrryd ag ymchwil
  • Cyfreithlon ac yn ddefnyddiol i ddiogelwch ein systemau

NI fyddwn yn cymryd camau cyfreithiol yn erbyn ymchwilwyr sydd:

  • Gwneud ymdrech ddidwyll i osgoi torri preifatrwydd a tharfu
  • Dim ond rhyngweithio â chyfrifon sy'n eiddo i chi neu gyda chaniatâd penodol
  • Peidiwch â manteisio ar wendidau y tu hwnt i brawf-o-gysyniad
  • Adroddwch am wendidau ar unwaith
  • Cadwch fanylion bregusrwydd yn gyfrinachol nes i ni fynd i'r afael â nhw

Encryption

Ar gyfer cyfathrebu diogel ynghylch gwendidau sensitif, defnyddiwch ein hallwedd gyhoeddus PGP i amgryptio eich negeseuon:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Ein manylion allweddol:

  • math: RSA 4096-bit
  • Olion Bysedd: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Yn dod i ben: 2027-10-14

Diogelwch.txt

Dilynwn y RFC 9116 safonol ar gyfer security.txt. Gallwch ddod o hyd i'n polisi diogelwch y gellir ei ddarllen gan beiriant yn:

https://moneylead.gg/.well-known/security.txt

(PGP wedi'i lofnodi ac yn cydymffurfio ag RFC 9116)

Diolchiadau

Rydym yn credu mewn cydnabod ymchwilwyr diogelwch sy'n ein helpu i wella ein diogelwch. Gall ymchwilwyr sy'n datgelu gwendidau'n gyfrifol fod:

  • Wedi'i gydnabod yn gyhoeddus ar ein gwefan (gyda chaniatâd)
  • Ychwanegwyd at ein neuadd enwogrwydd diogelwch
  • Wedi'i ddarparu gyda swag neu gydnabyddiaeth arall

Nodyn: Ar hyn o bryd nid ydym yn cynnig rhaglen gwobr am namau, ond rydym yn gwerthfawrogi datgeliad cyfrifol yn fawr a byddwn yn cydnabod eich cyfraniadau.