Segurtasunarekiko dugun konpromisoa

MoneyLead-ek segurtasuna serio hartzen du. Segurtasun-ikertzaileen lana eskertzen dugu, gure erabiltzaileak babesten eta gure sistemak hobetzen laguntzen digutelako. Orrialde honek gure segurtasun-ahultasunen dibulgazio-politika eta segurtasun-arazoak modu arduratsuan nola jakinarazi azaltzen du.

Scope

Esparruan:

  • moneylead.gg eta azpidomeinu guztiak
  • Jendaurrean dauden web aplikazio guztiak
  • API amaiera-puntu guztiak
  • Autentifikazio- eta baimen-mekanismoak
  • Datuen biltegiratze eta transmisioaren segurtasuna

Esparrutik kanpo:

  • Ingeniaritza sozialeko erasoak
  • Segurtasun fisikoko probak
  • Zerbitzu Ukapeneko (DoS/DDoS) erasoak
  • Hirugarrenen zerbitzuak (GitHub, CDN hornitzaileak, etab.)
  • Spam edo sare sozialetako erasoak

Nola salatu

Segurtasun-ahultasun baten berri ematean, sartu honako hauek:

  1. Deskribapena - Ahultasunaren azalpen argia
  2. Ugaltzeko urratsak - Arazoa erreproduzitzeko urrats zehatzak
  3. Eraginaren - Segurtasunean izan daitekeen eragina eta kaltetutako erabiltzaileak
  4. Kontzeptu froga - Edozein PoC kode edo pantaila-argazki
  5. Ingurumena - Nabigatzailea, sistema eragilea eta bestelako xehetasun garrantzitsuak
  6. Zure harremanetarako informazioa - Nola jar gaitezke zurekin harremanetan jarraipena egiteko

Aholkua: Informazio sentikorra baduzu, enkriptatu zure posta elektronikoa gure PGP gakoa erabiliz.

Erantzunaren kronograma

1️⃣ Hasierako Erantzuna - Txostena aurkeztu eta 48 orduko epean
2️⃣ Egoeraren eguneratzea - 7 eguneko epean triajearen emaitzekin
3️⃣ Ebazpen-kronologia - Larritasunaren araberakoa da (triajearen ondoren jakinarazia)
4️⃣ Dibulgazioa - Konponketa zabaldu ondoren dibulgazio koordinatua

Safe Harbor

Politika honen arabera egindako segurtasun-ikerketa honako hau dela uste dugu:

  • Baimenduta indarrean dauden legeen arabera
  • Salbuetsia ikerketan eragingo luketen Zerbitzu Baldintzen murrizketetatik
  • Legezkoa eta gure sistemen segurtasunerako lagungarria

EZ dugu legezko ekintzarik hartuko ikertzaileen aurka:

  • Egin ahalegin onez pribatutasun-urraketak eta etenaldiak saihesteko
  • Zureak diren edo baimen esplizitua duten kontuekin bakarrik elkarreragin
  • Ez ustiatu ahultasunak kontzeptuaren frogapenetik harago
  • Salatu ahultasunak berehala
  • Mantendu ahultasunen xehetasunak konfidentzialki konpondu arte.

Encryption

Ahultasun sentikorrei buruzko komunikazio segurua lortzeko, erabili gure PGP gako publikoa zure mezuak enkriptatzeko:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Gure xehetasun nagusiak:

  • Mota: RSA 4096 biteko
  • Hatz-marka: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Iraungitzen da: 2027-10-14

Segurtasuna.txt

jarraitzen dugu RFC 9116 security.txt-ren estandarra. Gure makina-irakurgarri den segurtasun-politika hemen aurki dezakezu:

https://moneylead.gg/.well-known/security.txt

(PGP sinadurarekin eta RFC 9116rekin bat datorrena)

Eskertzak

Gure segurtasuna hobetzen laguntzen diguten segurtasun-ikertzaileak aitortu behar ditugula uste dugu. Ahultasunak arduraz agerian uzten dituzten ikertzaileak hauek izan daitezke:

  • Gure webgunean publikoki aitortua (baimenarekin)
  • Gure segurtasun ospearen aretoan gehituta
  • Apaingarri edo bestelako aitorpen batekin hornituta

Oharra: Momentuz ez dugu akatsen sari programarik eskaintzen, baina oso eskertzen dugu arduraz informatzea eta zure ekarpenak aitortuko ditugu.