Divulgation Responsable

FootballCoin

Sur FootballCoin

FootballCoin vous donne la possibilité de mettre en valeur vos compétences de manager en vous permettant de créer votre équipe de football parfaite. En entrant dans le jeu, vous pourrez vous inscrire à des compétitions, créer votre équipe et gagner des prix en fonction de vos connaissances en football.

Parce que la plateforme fonctionne avec des informations sensibles sur nos utilisateurs, y compris leurs XFC et leurs cartes de joueurs à collectionner, nous apprécions tous les problèmes de sécurité soulevés et nous nous efforçons constamment de maîtriser les dernières menaces.

Nous encourageons les chercheurs en sécurité à identifier et à soumettre des rapports de vulnérabilité concernant tout ce qui est accepté par FootballCoin, notamment le site web, l’application et les services.

Portée du Programme / Cibles d’intérêt

Objectifs dans la portée

  • www.footballcoin.io
  • game.footballcoin.io
  • Composants du blockchain de XFC (par exemple : blockchain, node, porte-monnaie)

Objectifs hors la portée

Toutes les ressources qui ne sont pas définies dans la portée.

Vulnérabilités hors la portée

  • Vulnérabilités théoriques sans preuve de concept réelle
  • Lacunes dans la vérification de l’e-mail, expiration des liens de réinitialisation du mot de passe et stratégies de complexité du mot de passe
  • Enregistrements SPF (Sender Policy Framework) invalides ou manquants (SPF / DKIM / DMARC incomplets ou manquants)
  • Redressement des clics / Interface Utilisateur avec un impact minimal sur la sécurité
  • Énumération des e-mails ou mobiles (par exemple : la capacité d’identifier les e-mails via la réinitialisation du mot de passe)
  • Divulgation d’informations avec un impact minimal sur la sécurité (par exemple : traces de pile, divulgation de chemin d’accès, listes de répertoires, journaux, erreurs d’application ou de serveur)
  • Problèmes connus en interne, des problèmes en double ou des problèmes qui ont déjà été rendus publics
  • Tab-nabbing
  • Auto-XSS
  • Vulnérabilités exploitables uniquement sur des navigateurs ou des platesformes obsolètes
  • Vulnérabilités liées à la saisie automatique de formulaires web
  • Utilisation de bibliothèques vulnérables connues sans preuve de concept réelle
  • Absence de drapeaux de sécurité dans les cookies
  • Problèmes liés aux suites de chiffrement SSL / TLS non sécurisées ou à la version du protocole
  • Usurpation de contenu
  • Problèmes liés au contrôle du cache
  • Exposition d’adresses IP internes ou de domaines
  • En-têtes de sécurité manquants qui ne mènent pas à une exploitation directe
  • CSRF ayant un impact négligeable sur la sécurité (par exemple : ajouter des favoris, ajouter au panier, s’abonner à une fonctionnalité non critique)
  • Problèmes sans impact sur la sécurité (par exemple : impossible de charger une page web)
  • Biens n’appartenant pas à FootballCoin
  • Phishing (par exemple : Phishing dans l’Authentification de Base HTTP), Spam ou Ingénierie Sociale
  • Vulnérabilités de CORS sans Validation de Principe
  • Absence de Limites Tarifaires

Actions et tests à éviter

  • Test de comptes autres que ceux que vous possédez
  • Utilisation d’outils de test automatiques tels que les scanners de vulnérabilité, la force brute, etc.
  • Causer ou tenter de causer une condition de Déni de Service (DoS)
  • Destruction de données
  • Analyses de vulnérabilité automatisées sont strictement interdites
  • En aucun cas, n’attaquez nos utilisateurs finaux et ne vous engagez pas dans le commerce d’informations d’identification d’utilisateur volées
  • Pas de phishing
  • Ne pas utiliser de techniques de chantage pour demander des gains financiers

Comment signaler les vulnérabilités de sécurité ?

Nous utilisons la méthode d’évaluation des risques OWASP pour déterminer le niveau de menace du bogue pour les informations du site web et / ou du réseau XFC. Vous pouvez nous envoyer un message avec votre résultat à security@footballcoin.io, en tenant compte des étapes suivantes attendues par l’engagement :

1. Envoyez-nous une brève description de la vulnérabilité qui devrait contenir au moins les éléments suivants :

    • Titre de la vulnérabilité
    • La page concernée / url / ip / service
    • Étapes pour reproduire le problème
    • Preuve de vulnérabilité
    • Impact (basé sur la méthodologie d’évaluation des risques OWASP)
    • Comment résoudre le problème

2. Une fois soumis, nous vous confirmerons que nous avons reçu votre rapport avec une réponse non automatisée dans un délai de 7 jours et fournissons un plan de réponse détaillé, le cas échéant. Le rapport sera vérifié par des spécialistes tiers indépendants en sécurité de Bit Sentinel, un fournisseur de services de cybersécurité ayant pour mission de protéger les entreprises contre les cyber-menaces.

3. Nous confirmons le problème et commençons à travailler sur un patch.

4. Nous confirmons que nous avons résolu le problème et vous demandons de retester le bogue.

5. Vous serez ajouté au Hall of Fame et, si la vulnérabilité est acceptée comme récompense, vous serez récompensé.

6. La vulnérabilité peut être divulguée et publiée de manière responsable après avoir donné notre consentement, mais au plus tôt 60 jours calendaires après l’avoir informé de FootballCoin ; la divulgation ne doit contenir aucune information sensible concernant notre technologie ou les informations de nos clients.

Veuillez noter que nous acceptons également les soumissions anonymes.

Récompenses

Toute vulnérabilité signalée et acceptée par les spécialistes tiers indépendants en sécurité de Bit Sentinel apparaîtra dans le Hall of Fame dans un délai maximum de 30 jours après la confirmation du bogue.

Nous pouvons offrir des récompenses sous forme de XFC ou de cartes de joueurs à collectionner pour les rapports comportant des vulnérabilités critiques, mais ce type de récompense n’est pas garanti pour le moment.

Nous n’offrirons pas de récompenses aux personnes figurant sur les listes de sanctions ou aux pays figurant sur les listes de sanctions. Toutes les conséquences fiscales relèvent de votre entière responsabilité, en fonction de votre pays de résidence et de votre nationalité. De plus, d’autres restrictions peuvent s’appliquer, en fonction également de votre législation locale.

Hall of Fame

Nous souhaitons remercier tous les chercheurs en sécurité qui nous ont aidés à améliorer la sécurité de notre produit. Une mention spéciale va à ce qui suit :

Notre Engagement

Si vos actions sont effectuées de bonne foi et respectent cette politique, nous nous engageons à :

  • Les informations que vous partagez avec nous dans le cadre de ce processus resteront confidentielles au sein de FootballCoin et de nos fournisseurs sous-traitants directement impliqués dans ce processus. Il ne sera pas partagé avec des tiers sans votre permission.
  • Nous n’engagerons aucune action en justice contre les chercheurs en sécurité qui tentent de détecter les vulnérabilités de nos systèmes qui adhèrent à la présente politique et n’essayent pas d’exfiltrer des informations sensibles à des fins malveillantes.
  • Si vous signalez une vulnérabilité qui affecte matériellement nos services ou notre infrastructure, nous vous en remercierons avec une reconnaissance publique.

Autres Limitations

  • Ce n’est pas une compétition, mais plutôt un programme de récompenses expérimental et discrétionnaire. Vous devez comprendre que nous pouvons annuler le programme à tout moment et que la décision de payer ou non une récompense doit être entièrement à notre discrétion.
  • Vos tests ne doivent violer aucune loi, perturber ou compromettre des données qui ne vous appartiennent pas.
  • Pour éviter les conflits d’intérêts potentiels, nous n’accorderons aucune récompense aux personnes employées par les sociétés FootballCoin qui développent du code pour les appareils couverts par ce programme.
  • Le cas échéant, FootballCoin coordonnera avec vous la notification publique d’une vulnérabilité validée. Dans la mesure du possible, nous préférerions que nos déclarations publiques respectives soient affichées simultanément.