Us ynset foar feiligens

MoneyLead nimt feiligens serieus. Wy wurdearje it wurk fan feiligensûndersikers dy't ús helpe ús brûkers te beskermjen en ús systemen te ferbetterjen. Dizze pagina beskriuwt ús belied foar it iepenbier meitsjen fan feiligenskwetsberens en hoe't jo feiligensproblemen ferantwurde kinne melde.

Scope

Yn berik:

  • moneylead.gg en alle subdomeinen
  • Alle webapplikaasjes foar it publyk
  • Alle API-eindpunten
  • Autentikaasje- en autorisaasjemeganismen
  • Feiligens fan gegevensopslach en oerdracht

Bûten berik:

  • Sosjaal technyk oanfallen
  • Fysike feiligenstests
  • Denial of Service (DoS/DDoS) oanfallen
  • Tsjinsten fan tredden (GitHub, CDN-oanbieders, ensfh.)
  • Spam of oanfallen op sosjale media

Hoe rapportearje

As jo ​​in feiligenskwetsberens melde, nim dan it folgjende op:

  1. Beskriuwing - Dúdlike útlis fan 'e kwetsberens
  2. Stappen om te reprodusearjen - Detaillearre stappen om it probleem te reprodusearjen
  3. Impact - Potinsjele feiligensynfloed en troffen brûkers
  4. Bewiis fan konsept - Elke PoC-koade of skermôfbyldings
  5. Miljeu - Browser, bestjoeringssysteem en oare relevante details
  6. Dyn kontaktgegevens - Hoe wy jo berikke kinne foar opfolging

Foai: Foar gefoelige ynformaasje, fersiferje jo e-post asjebleaft mei ús PGP-kaai.

Antwurdtiidline

1️⃣ Inisjele reaksje - Binnen 48 oeren nei yntsjinjen fan it rapport
2️⃣ Status Update - Binnen 7 dagen mei triageresultaten
3️⃣ Resolúsje Timeline - Ofhinklik fan earnst (kommunisearre nei triage)
4️⃣ ûntsluting - Koördinearre iepenbiering nei't de reparaasje ynset is

Feilige haven

Wy beskôgje feiligensûndersyk útfierd yn oerienstimming mei dit belied as:

  • Autorisearre yn oerienstimming mei jildende wetten
  • Frijsteld fan beheiningen fan 'e Servicebetingsten dy't ûndersyk bemuoie soene
  • Lawful en nuttich foar de feiligens fan ús systemen

Wy sille GEEN juridyske stappen nimme tsjin ûndersikers dy't:

  • Doch in poging om privacyskendingen en ûnderbrekkingen te foarkommen
  • Allinnich ynteraksje mei akkounts dy't jo hawwe of mei útdruklike tastimming
  • Brûk gjin kwetsberheden bûten it proof-of-concept-nivo
  • Meld kwetsberheden fuortendaliks
  • Hâld details oer kwetsberens geheim oant wy se oanpakt hawwe

fersifering

Brûk ús PGP iepenbiere kaai om jo berjochten te fersiferjen foar feilige kommunikaasje oer gefoelige kwetsberheden:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Us wichtichste details:

  • Type: RSA 4096-bit
  • Fingerprint: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Expires: 2027-10-14

Acknowledgments

Wy leauwe yn it erkennen fan feiligensûndersikers dy't ús helpe ús feiligens te ferbetterjen. Ûndersikers dy't ferantwurdlik kwetsberheden iepenbierje kinne wêze:

  • Iepenbier erkend op ús webside (mei tastimming)
  • Tafoege oan ús feiligenshall of fame
  • Foarsjoen fan swag of oare erkenning

Opmerking: Wy biede op it stuit gjin bug bounty-programma oan, mar wy wurdearje ferantwurdlike iepenbiering tige en sille jo bydragen erkenne.