Información responsable

julio 17, 2019

by andrei4digital

Acerca de

FootballCoin te da la oportunidad de mostrar tus habilidades directivas al permitirte crear tu equipo de fútbol perfecto. Al ingresar al juego, podrás registrarte para participar en los concursos, crear la lista del equipo y ganar premios según tus conocimientos de fútbol.

Debido a que la plataforma trabaja con cierta información confidencial sobre nuestros usuarios, incluidas sus monedas de XFC y las tarjetas virtuales de jugador coleccionables, apreciamos todas las preocupaciones de seguridad surgidas y nos esforzamos constantemente por mantenernos al tanto de las amenazas más recientes.

Alentamos a los investigadores de seguridad a identificar y enviar informes de vulnerabilidad con respecto a cualquier cosa aceptada por el alcance de FootballCoin, incluidos, entre otros, el sitio web, la aplicación y los servicios.

Esfera de acción del programa / objetivos de interés

Objetivos de la esfera de acción

  • www.footballcoin.io
  • game.footballcoin.io
  • XFC blockchain components (e.g. blockchain, node, wallet)

Objetivos fuera de la esfera de acción

Todos los recursos que no están definidos en el ámbito.

Vulnerabilidades fuera de la esfera de acción

  • Vulnerabilidades teóricas sin prueba real de concepto
  • Deficiencias de verificación de correo electrónico, caducidad de los enlaces de restablecimiento de contraseña y políticas de complejidad de contraseña
  • Registros de SPF (Sender Policy Framework) no válidos o faltantes (SPF/DKIM/DMARC incompletos o faltantes)
  • Clickjacking / UI corrigiendo con un impacto de seguridad mínimo
  • Correo electrónico o enumeración móvil (por ejemplo, la capacidad de identificar correos electrónicos mediante el restablecimiento de contraseña)
  • Divulgación de información con un impacto de seguridad mínimo (por ejemplo, rastreos de pila, divulgación de rutas, listados de directorios, registros, errores de la aplicación o del servidor)
  • Problemas conocidos internamente, problemas duplicados o problemas que ya se han hecho públicos
  • Tab-nabbing
  • Self-XSS
  • Las vulnerabilidades solo son explotables en navegadores o plataformas que no están actualizadas
  • Vulnerabilidades relacionadas con el llenado automático de formularios web
  • Uso de bibliotecas vulnerables conocidas sin prueba de concepto real
  • Falta de security flags en las cookies
  • Problemas con números SSL / TLS no confiables o versión de protocolo
  • Contenido falsificado
  • Problemas relacionados con el control de caché
  • Exposición de la dirección IP interna o dominios
  • Falta de cabeceras de seguridad que no conduzcan a explotación directa.
  • CSRF con un impacto de seguridad insignificante (por ejemplo, agregar a favoritos, agregar al carrito, suscribirse a una función no crítica)
  • Problemas que no tienen ningún impacto en la seguridad (por ejemplo, falla al cargar una página web)
  • Activos que no pertenecen a FootballCoin
  • Phishing (por ejemplo, Phishing de autenticación básica HTTP), Spam o ingeniería social
  • Vulnerabilidades de CORS sin Prueba de Concepto
  • Límites de tasa faltantes

Acciones y pruebas a evitar

  • Probar de cuentas distintas a las que posees.
  • Uso de herramientas de prueba automáticas como escáneres de vulnerabilidad, fuerza bruta, etc.
  • Causar o intentar causar una condición de denegación de servicio (DoS)
  • Destrucción de datos
  • Las exploraciones de vulnerabilidad automatizadas están estrictamente prohibidas
  • De ninguna manera, no ataque a nuestros usuarios finales, ni participe en el intercambio de credenciales de usuario robadas
  • No phishing
  • No utilice técnicas de chantaje para solicitar ganancias financieras.

¿Cómo reportar vulnerabilidades de seguridad?

Estamos utilizando la metodología de evaluación de riesgos de OWASP para determinar el nivel de amenaza del error para la información del sitio web y / o la red XFC. Puede enviarnos un mensaje con su hallazgo a security@footballcoin.io, considerando los siguientes pasos que debe esperar el compromiso:

  1. Envíenos una breve descripción de la vulnerabilidad que debe contener al menos lo siguiente:
  • Título de la vulnerabilidad
  • La página afectada / url / ip / service
  • Pasos para reproducir el problema
  • Prueba de vulnerabilidad
  • Impacto (basado en la metodología de puntuación de riesgo de OWASP)
  • Cómo solucionar el problema

2. Una vez enviado, reconoceremos que hemos recibido su informe con una respuesta no automatizada en un plazo de 7 días y proporcionaremos un plan de respuesta resumido cuando corresponda. El informe será verificado por especialistas independientes en seguridad de terceros de Bit Sentinel, un proveedor de servicios de seguridad cibernética con una misión reconocida para proteger a las empresas contra las amenazas informáticas.

3. Confirmamos el problema y comenzamos a trabajar para solucionarla

4. Confirmamos que hemos solucionado el problema y le pedimos que vuelva a probar el error

5. Se lo agregará a Hall Of Fame y, si se acepta la vulnerabilidad como recompensa, se le recompensa.

6. La vulnerabilidad puede ser divulgada y publicada de manera responsable después de que hayamos dado nuestro consentimiento, pero no antes de 60 días calendaristicas después de que haya notificado a FootballCoin; La divulgación no debe contener información confidencial sobre nuestra tecnología o la información de los clientes.

Tenga en cuenta que también aceptamos envíos anónimos.

Recompensas

Cualquier vulnerabilidad notificada y aceptada por los especialistas de seguridad independientes de Bit Sentinel aparecerá en el Hall Of Fame en un plazo máximo de 30 días después de confirmar el error.

Podemos ofrecer recompensas en monedas XFC o en tarjetas virtuales de jugador coleccionables para informes que involucren vulnerabilidades críticas, pero este tipo de recompensa no está garantizado por ahora.

No ofreceremos recompensas a las personas que están en las listas de sanciones, o que están en los países en las listas de sanciones. Cualquier implicación fiscal está bajo su total responsabilidad, dependiendo de su país de residencia y ciudadanía. Además, se pueden aplicar restricciones adicionales, también dependiendo de su legislación local.

Hall Of Fame

Queremos agradecer a todos los investigadores de seguridad que nos ayudaron a mejorar la seguridad de nuestro producto. Mención especial va a lo siguiente:

Nuestro compromiso

Si sus acciones se realizan de buena fe y siguen esta política, nos comprometemos a lo siguiente:

  • La información que comparte con nosotros como parte de este proceso se mantendrá confidencial dentro de FootballCoin y nuestros proveedores directamente contratados que participan en este proceso. No se compartirá con terceros sin su permiso
  • No iniciaremos ninguna acción legal contra los investigadores de seguridad que intentan encontrar vulnerabilidades dentro de nuestros sistemas que se adhieran a esta política y no intenten filtrar información confidencial para uso malicioso.
  • Si informa de una vulnerabilidad que afecta de manera importante a nuestros servicios o infraestructura, le agradeceremos con un reconocimiento público.

Otras limitaciones

  • Esto no es una competencia, sino un programa de recompensas experimental y discrecional. Debe comprender que podemos cancelar el programa en cualquier momento y que la decisión de pagar o no una recompensa debe ser totalmente a nuestra discreción
  • Sus pruebas no deben violar ninguna ley, ni interrumpir ni comprometer ningún dato que no sea suyo
  • Para evitar posibles conflictos de interés, no otorgaremos recompensas a las personas empleadas por las compañías de FootballCoin que desarrollan el código para los dispositivos cubiertos por este programa
  • Si corresponde, FootballCoin coordinará la notificación pública de una vulnerabilidad validada con usted. Cuando sea posible, preferiríamos que nuestras respectivas divulgaciones públicas se publiquen simultáneamente