Angajman nou anvè sekirite

MoneyLead pran sekirite oserye. Nou apresye travay chèchè sekirite yo ki ede nou pwoteje itilizatè nou yo epi amelyore sistèm nou yo. Paj sa a prezante règleman divilgasyon vilnerabilite sekirite nou an ak kijan pou rapòte pwoblèm sekirite yon fason responsab.

Dimansyon

Nan Dimansyon:

  • moneylead.gg ak tout soudomèn yo
  • Tout aplikasyon entènèt ki disponib pou piblik la
  • Tout pwen final API yo
  • Mekanis otantifikasyon ak otorizasyon
  • Sekirite depo ak transmisyon done

Pa nan kad la:

  • Atak jeni sosyal
  • Tès sekirite fizik
  • Atak Refize Sèvis (DoS/DDoS)
  • Sèvis twazyèm pati (GitHub, founisè CDN, elatriye)
  • Atak Spam oswa medya sosyal

Kijan pou fè rapò

Lè w ap rapòte yon vilnerabilite sekirite, tanpri mete ladan l:

  1. Deskripsyon - Eksplikasyon klè sou vilnerabilite a
  2. Etap pou repwodui - Etap detaye pou repwodui pwoblèm nan
  3. Enpak - Enpak potansyèl sou sekirite ak itilizatè ki afekte yo
  4. Prèv Konsèp - Nenpòt kòd PoC oswa kopi ekran
  5. Anviwònman - Navigatè, sistèm operasyon, ak lòt detay enpòtan
  6. Enfòmasyon pou kontakte ou - Kijan nou ka kontakte ou pou swivi

Ide: Pou enfòmasyon sansib, tanpri chifre imèl ou a avèk kle PGP nou an.

Delè Repons

1️⃣ Premye Repons - Nan 48 èdtan apre soumèt rapò a
2️⃣ Status Mizajou - Nan 7 jou avèk rezilta triyaj yo
3️⃣ Rezolisyon Timeline - Sa depann de gravite a (kominike apre triyaj)
4️⃣ divilgasyon - Divilgasyon kowòdone apre yo fin deplwaye koreksyon an

Safe Harbor

Nou konsidere rechèch sekirite ki fèt an akò avèk règleman sa a kòm:

  • Otorize an akò avèk lwa ki aplikab yo
  • Egzante soti nan restriksyon Kondisyon Sèvis yo ki ta entèfere ak rechèch la
  • Legal epi itil pou sekirite sistèm nou yo

Nou PA pral pouswiv aksyon legal kont chèchè ki:

  • Fè yon efò bon lafwa pou evite vyolasyon vi prive ak deranjman.
  • Sèlman kominike avèk kont ou posede oswa ki gen pèmisyon eksplisit
  • Pa eksplwate vilnerabilite ki depase prèv konsèp la.
  • Rapòte vilnerabilite yo san pèdi tan
  • Kenbe detay vilnerabilite yo konfidansyèl jiskaske nou fin adrese yo.

Chifreman

Pou kominikasyon an sekirite sou vilnerabilite sansib yo, tanpri itilize kle piblik PGP nou an pou chifre mesaj ou yo:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Detay kle nou yo:

  • Tip de Anons: RSA 4096-bit
  • Anprent: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Ekspire: 2027-10-14

Remèsiman

Nou kwè nan rekonèt chèchè sekirite ki ede nou amelyore sekirite nou. Chèchè ki divilge vilnerabilite yo yon fason responsab kapab:

  • Rekonèt piblikman sou sit entènèt nou an (avèk pèmisyon)
  • Ajoute nan sal renome sekirite nou an
  • Bay ak swag oswa lòt rekonesans

Nòt: Kounye a nou pa ofri yon pwogram rekonpans pou ensèk nuizib, men nou apresye anpil divilgasyon responsab epi n ap rekonèt kontribisyon ou yo.