Vores engagement i sikkerhed

MoneyLead tager sikkerhed alvorligt. Vi sætter pris på arbejdet udført af sikkerhedsforskere, der hjælper os med at beskytte vores brugere og forbedre vores systemer. Denne side beskriver vores politik for offentliggørelse af sikkerhedssårbarheder og hvordan man rapporterer sikkerhedsproblemer ansvarligt.

Anvendelsesområde

I omfang:

  • moneylead.gg og alle underdomæner
  • Alle offentligt vendte webapplikationer
  • Alle API-slutpunkter
  • Autentificerings- og autorisationsmekanismer
  • Datalagring og transmissionssikkerhed

Uden for anvendelsesområde:

  • Socialtekniske angreb
  • Fysiske sikkerhedstests
  • Denial of Service (DoS/DDoS)-angreb
  • Tredjepartstjenester (GitHub, CDN-udbydere osv.)
  • Spam eller angreb på sociale medier

Sådan rapporteres

Når du rapporterer en sikkerhedssårbarhed, bedes du inkludere:

  1. Produktbeskrivelse - Tydelig forklaring af sårbarheden
  2. Trin til reproduktion - Detaljerede trin til at reproducere problemet
  3. Impact - Potentiel sikkerhedspåvirkning og berørte brugere
  4. Proof of Concept - Enhver PoC-kode eller skærmbilleder
  5. Miljø - Browser, operativsystem og andre relevante oplysninger
  6. Dine kontaktoplysninger - Hvordan vi kan kontakte dig for opfølgning

Tip: For følsomme oplysninger bedes du kryptere din e-mail med vores PGP-nøgle.

Tidslinje for svar

1️⃣ Indledende svar - Inden for 48 timer efter indsendelse af rapport
2️⃣ Status opdatering - Inden for 7 dage med triageresultater
3️⃣ Tidslinje for løsning - Afhænger af sværhedsgraden (meddeles efter triage)
4️⃣ Disclosure - Koordineret offentliggørelse efter implementering af rettelse

Safe Harbor

Vi anser sikkerhedsforskning udført i overensstemmelse med denne politik for at være:

  • autoriseret i overensstemmelse med gældende love
  • Fritaget fra restriktioner i servicevilkårene, der ville forstyrre forskningen
  • Lovlig og nyttigt for sikkerheden i vores systemer

Vi vil IKKE forfølge retssager mod forskere, der:

  • Gør en god indsats for at undgå krænkelser og forstyrrelser af privatlivets fred
  • Interager kun med konti, du ejer, eller med udtrykkelig tilladelse
  • Udnyt ikke sårbarheder ud over proof-of-concept
  • Rapportér sårbarheder omgående
  • Hold oplysninger om sårbarheder fortrolige, indtil vi har adresseret dem

Kryptering

For sikker kommunikation om følsomme sårbarheder, brug venligst vores offentlige PGP-nøgle til at kryptere dine beskeder:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Vores vigtigste detaljer:

  • Type: RSA 4096-bit
  • Fingeraftryk: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Udløber: 2027-10-14

Tak

Vi tror på at anerkende sikkerhedsforskere, der hjælper os med at forbedre vores sikkerhed. Forskere, der ansvarligt afslører sårbarheder, kan være:

  • Offentlig anerkendt på vores hjemmeside (med tilladelse)
  • Tilføjet til vores sikkerhedshall of fame
  • Forsynet med swag eller anden anerkendelse

Bemærk: Vi tilbyder i øjeblikket ikke et bug bounty-program, men vi sætter stor pris på ansvarlig offentliggørelse og vil anerkende dine bidrag.