Komitmen kami pikeun Kaamanan

MoneyLead nyandak kaamanan sacara serius. Kami ngahargaan karya panalungtik kaamanan anu ngabantosan kami ngajagaan pangguna sareng ningkatkeun sistem kami. Halaman ieu ngajelaskeun kabijakan panyingkepan kerentanan kaamanan urang sareng cara ngalaporkeun masalah kaamanan sacara tanggung jawab.

wengkuan

Dina lingkup:

  • moneylead.gg sareng sadaya subdomain
  • Sadaya aplikasi wéb anu nyanghareup ka umum
  • Kabéh titik tungtung API
  • Mékanisme auténtikasi sareng otorisasi
  • Panyimpen data sareng kaamanan pangiriman

Di luar lingkup:

  • Serangan rékayasa sosial
  • Tés kaamanan fisik
  • Serangan Denial of Service (DoS/DDoS).
  • Ladenan pihak katilu (GitHub, panyadia CDN, jsb.)
  • Spam atanapi serangan média sosial

Kumaha Laporan

Nalika ngalaporkeun kerentanan kaamanan, punten kalebet:

  1. gambaran - Penjelasan jelas ngeunaan kerentanan
  2. Léngkah pikeun baranahan - Léngkah-léngkah pikeun ngaréproduksi masalah
  3. pangaruh - Poténsi dampak kaamanan sareng pangguna anu kapangaruhan
  4. Bukti Konsep - Sakur kode PoC atanapi Potret layar
  5. lingkungan - Browser, OS, sareng detil anu relevan
  6. Inpo Kontak Anjeun - Kumaha urang tiasa ngahontal anjeun pikeun nurutan-up

tip: Kanggo inpormasi sénsitip, mangga énkripsi email anjeun nganggo konci PGP kami.

Timeline Tanggapan

1️⃣ Tanggapan Awal - Dina 48 jam kiriman laporan
2️⃣ Pembaruan Status - Dina 7 poé kalayan hasil triage
3️⃣ Gariswanci Resolusi - Gumantung kana severity (dikomunikasikeun sanggeus triage)
4️⃣ nyingkaban - Panyingkepan anu terkoordinasi saatos ngalereskeun dipasang

Aman Pelabuhan

Kami nganggap panalungtikan kaamanan anu dilakukeun saluyu sareng kawijakan ieu nyaéta:

  • Otorisasi luyu jeung hukum nu lumaku
  • dibebaskeun ti Watesan Sarat Layanan anu bakal ngaganggu panalungtikan
  • sah tur mantuan pikeun kaamanan sistem urang

Kami moal ngudag tindakan hukum ngalawan peneliti anu:

  • Jieun usaha iman alus pikeun nyingkahan palanggaran privasi sarta gangguan
  • Ngan ukur berinteraksi sareng akun anu anjeun gaduh atanapi kalayan idin eksplisit
  • Ulah ngamangpaatkeun kerentanan saluareun bukti-of-konsép
  • Laporkeun kerentanan gancang
  • Tetep rinci kerentanan rahasia dugi kami geus kajawab aranjeunna

enkripsi

Pikeun komunikasi aman ngeunaan kerentanan sénsitip, punten nganggo konci umum PGP kami pikeun énkripsi pesen anjeun:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Rincian konci kami:

  • Type: RSA 4096-bit
  • Sidik jari: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • wayahna: 2027-10-14

Security.txt

Urang nuturkeun RFC 9116 baku pikeun security.txt. Anjeun tiasa mendakan kawijakan kaamanan anu tiasa dibaca ku mesin kami di:

https://moneylead.gg/.well-known/security.txt

(PGP ditandatanganan sareng patuh sareng RFC 9116)

Acknowledgments

Kami yakin kana mikawanoh peneliti kaamanan anu ngabantosan kami ningkatkeun kaamanan. Panaliti anu tanggung jawab ngungkabkeun kerentanan tiasa:

  • Diaku sacara umum dina situs wéb kami (kalayan idin)
  • Ditambahkeun kana aula kaamanan urang Kinérja
  • Disadiakeun ku swag atanapi pangakuan anu sanés

Catetan: Kami ayeuna henteu nawiskeun program bounty bug, tapi kami ngahargaan pisan kana panyingkepan anu tanggung jawab sareng bakal ngaku kontribusi anjeun.