Ответственное раскрытие информации

15 июля, 2019

by liz4digital

FootballCoin

O FootballCoin

FootballCoin дает вам возможность продемонстрировать свои управленческие способности, позволяя вам создать свою идеальную футбольную команду. При входе в игру вы сможете зарегистрироваться на соревнования, создать список команды, и выиграть призы на основе ваших футбольных знаний.

Поскольку платформа работает с некоторой конфиденциальной информацией о наших пользователях, включая их монеты XFC и коллекционные карточки игроков, мы ценим все возникающие проблемы безопасности и постоянно стремимся быть в курсе последних угроз.

Мы призываем исследователей безопасности выявлять и представлять отчеты об уязвимостях в отношении всего, что входит в сферу действия FootballCoin, включая, помимо прочего, веб-сайт, приложение и услуги.

Объем программы / целевые объекты

Из целевых показателей

  • www.footballcoin.io
  • game.footballcoin.io
  • XFC blockchain components (e.g. blockchain, node, wallet)

Вне сферы охвата целевых показателей

Все ресурсы, которые не определены в объеме.

Вне области уязвимости

  • Теоретические уязвимости без фактического доказательства концепции
  • Недостатки проверки электронной почты, истечение срока действия ссылок сброса пароля и политики сложности паролей
  • Недопустимые или отсутствующие записи SPF (Sender Policy Framework) (неполные или отсутствующие записи SPF / DKIM/DMARC)
  • Clickjacking / UI восстановление с минимальным воздействием на безопасность
  • Перечисление по электронной почте или с мобильного телефона (например, возможность идентифицировать электронные письма с помощью сброса пароля)
  • Раскрытие информации с минимальным воздействием на безопасность (например. трассировки стека, раскрытие пути, списки каталогов, журналы, ошибки приложения или сервера)
  • Внутренне известные проблемы, повторяющиеся проблемы или проблемы, которые уже были обнародованы
  • Tab-Арест
  • Self-XSS (межсайтовый скриптинг)
  • Уязвимости, которые можно использовать только в устаревших браузерах или платформах
  • Уязвимости, связанные с автоматическим заполнением веб-форм
  • Использование известных уязвимых библиотек без фактического подтверждения концепции
  • Отсутствие флагов безопасности в cookies
  • Проблемы, связанные с небезопасными наборами шифров SSL/TLS или версией протокола
  • Подмена контента
  • Проблемы, связанные с контролем кэша
  • Выставление внутреннего IP-адреса или доменов
  • Отсутствие заголовков, которые не приводят к прямой эксплуатации
  • CSRF с незначительным влиянием на безопасность (например, добавление в избранное, добавление в корзину, подписка на некритическую функцию)
  • Проблемы, которые не влияют на безопасность (например, ошибка при загрузке веб-страницы)
  • Активы, которые не принадлежат FootballCoin
  • Фишинг (например, Фишинг HTTP Basic Authentication), Спам или Социальная инженерия
  • Уязвимости в CORS без подтверждения концепции
  • Отсутствие ограничения скорости

Действия и тесты, которые стоят избежать

  • Тестирование учетных записей, отличных от ваших собственных
  • Использование инструментов автоматического тестирования, таких как сканеры уязвимостей, перебор и т. д.
  • Создание или попытка создания условия отказа в обслуживании (DoS)
  • Уничтожение данных
  • Автоматическое сканирование уязвимостей строго запрещено
  • Ни в коем случае не атакуйте наших конечных пользователей и не участвуйте в торговле украденными учетными данными пользователей.
  • Никакого фишинга
  • Не используйте методы шантажа, чтобы просить о финансовой выгоде

Как сообщить об уязвимостях безопасности?

Мы используем методологию оценки рисков OWASP, чтобы определить  уровень угрозы для информации сайта и / или сети XFC. Вы можете отправить нам сообщение со своими находками по адресу security@footballcoin.io с учетом следующих шагов, по соглашению:

  1. Отправьте нам краткое описание уязвимости, которое должно содержать по крайней мере следующее:
    1. Название уязвимости
    2. Затронутая страница / url / ip / service
    3. Шаги по воспроизведению проблемы
    4. Доказательство уязвимости
    5. Воздействие (на основе методологии оценки риска OWASP)
    6. Как устранить проблему
  2. После отправки мы подтвердим, что получили ваш отчет с неавтоматизированным ответом в течение 7 дней, и предоставим общий план ответа, где это применимо. Отчет будет проверен независимыми сторонними специалистами по безопасности из Bit Sentinel, поставщика услуг кибербезопасности с признанной миссией по защите бизнеса от киберугроз.
  3. Мы подтверждаем проблему и начинаем работу над патчем
  4. Мы подтверждаем, что исправили проблему, и просим вас повторно проверить ошибку.
  5. Вы будете добавлены в Зал славы и, если уязвимость будет принята за вознаграждение, вы получите вознаграждение
  6. Уязвимость может быть ответственно раскрыта и опубликована после нашего согласия, но не ранее, чем через 60 календарных дней после того, как вы уведомили FootballCoin; раскрытие не должно содержать никакой конфиденциальной информации о нашей технологии или информации о клиентах.

Обратите внимание, что мы также принимаем анонимные заявки.

Вознаграждение

Любая уязвимость, сообщенная и принятая независимыми сторонними специалистами по безопасности от Bit Sentinel, появится в Зале Славы максимум через 30 дней после подтверждения ошибки.

Мы можем предложить вознаграждение в виде монет XFC или коллекционных карточек игрока за сообщения о критических уязвимостях, но вознаграждение такого типа пока не гарантировано.

Мы не будем предлагать вознаграждения лицам, которые включены в списки санкций или находятся в странах, включенных в списки санкций. Любые налоговые последствия подпадают под вашу полную ответственность, в зависимости от страны проживания и гражданства. Кроме того, могут применяться дополнительные ограничения, также в зависимости от вашего местного законодательства.

Зал славы

Мы хотим поблагодарить всех исследователей в области безопасности, которые помогли нам улучшить безопасность нашего продукта. Особо следует отметить следующее:

Наши обязательства

Если ваши действия выполняются добросовестно и в соответствии с этой политикой, мы обязуемся сделать следующее:

  • Информация, которой вы делитесь с нами в рамках этого процесса, будет храниться в конфиденциальном порядке в FootballCoin и в наших напрямую связанных поставщиках, участвующих в этом процессе. Он не будет передан третьим лицам без вашего разрешения.
  • Мы не будем предпринимать никаких юридических действий против исследователей безопасности, пытающихся найти уязвимости в наших системах, которые придерживаются этой политики и не пытаются отфильтровать конфиденциальную информацию для злонамеренного использования.
  • Если вы сообщите об уязвимости, которая существенно влияет на наши услуги или инфраструктуру, мы благодарим вас публично.

Другие ограничения

  • Это не соревнование, а скорее экспериментальная и дискреционная программа вознаграждений. Вы должны понимать, что мы можем отменить программу в любое время, и решение о выплате вознаграждения должно приниматься исключительно по нашему усмотрению.
  • Ваше тестирование не должно нарушать какие-либо законы, нарушать или ставить под угрозу любые данные, которые не являются вашими собственными.
  • Чтобы избежать потенциальных конфликтов интересов, мы не будем предоставлять вознаграждения людям, работающим в компаниях FootballCoin, которые разрабатывают код для устройств, охватываемых этой программой.
  • Если применимо, FootballCoin будет координировать публичное уведомление о подтвержденной уязвимости с вами. Когда это возможно, мы бы предпочли, чтобы наши соответствующие публичные раскрытия размещались одновременно.
Содержание скрыть
1 O FootballCoin
2 Объем программы / целевые объекты
2.1 Действия и тесты, которые стоят избежать
3 Как сообщить об уязвимостях безопасности?
4 Вознаграждение
5 Зал славы
6 Наши обязательства
7 Другие ограничения