بيان سياسة اكتشاف الثغرات الأمنية

1. مقدمة

تُدرك Trading Point Group (المشار إليها فيما بعد باسم ("Trading Point") الحاجة إلى التواصل مع مجتمع الأمن السيبراني لحماية بيانات العملاء، والعمل معاً لإنشاء وسائل وتطبيقات أكثر أماناً. تهدف هذه السياسة إلى تزويد الباحثين في مجال الأمن السيبراني بإرشادات واضحة عن إجراءات اكتشاف الثغرات الأمنية، وتوضيح تفضيلاتنا في كيفية إبلاغنا عن الثغرات المكتشفة.

نرحب بالباحثين للتطوع بإبلاغنا عن الثغرات الأمنية التي يعثرون عليها وتتعلق بأنظمة Trading Point. توضح هذه السياسة أنظمة وأنواع البحث التي تشملها هذه السياسة وكيفية إرسال تقارير الثغرات الأمنية إلينا.

يخضع تقديم تقارير الثغرات الأمنية للشروط والأحكام المنصوص عليها في هذه الصفحة، وعندما يقدم الباحثون تقرير الثغرات الأمنية إلى Trading Point يعني ذلك أنهم يقرّون هذه الشروط والأحكام ويوافقون عليها.

2. الشروط والأحكام

2.1. الملاذ الآمن/التصريح

عند إجراء بحث عن الثغرات الأمنية، وإظهار حسن النية للامتثال لهذه السياسة، فإننا نعتبر أن بحثك:

  • مصرح به بموجب أي قوانين سارية لمكافحة القرصنة ولن نتخذ أي إجراء قانوني ضدك بسبب بحثك.

  • مصرح به بموجب أي قوانين لمكافحة التحايل، ولن نرفع دعوى ضدك بسبب التحايل على ضوابط التكنولوجيا.

  • قانوني، ومفيد للأمن العام للإنترنت، ويتم إجراؤه بحسن نية.

نتوقع منك أن تمتثل لجميع القوانين المعمول بها. إذا اتخذ طرف آخر إجراء قانوني ضدك بسبب أنشطة قمت بها بحسن نية وفقاً لهذه السياسة، فسنعلن عن هذا التفويض.

إذا كان هناك ما يُقلقك في أي وقت أو لم تكن متأكداً مما إذا كان بحثك الأمني متوافقاً مع هذه السياسة، فيرجى إرسال تقرير عبر إحدى طرق التواصل الرسمية (كما هو موضح أدناه) قبل المواصلة.

لاحظ أن قانون الملاذ الآمن ينطبق فقط على الادعاءات القانونية الواقعة تحت سيطرة المنظمة المشاركة في هذه السياسة، وأن هذه السياسة لا تُلزم الجهات الأخرى المستقلة.

2.2. الإرشادات

في هذه السياسة، يُقصد بمصطلح "البحث" الأنشطة التي:

  • تُخطرنا بها في أقرب وقت ممكن بعد اكتشاف مشكلة أمنية حقيقية أو محتملة.

  • تبذل فيها كل جهد ممكن لتجنب انتهاكات الخصوصية، والتأثير سلباً على تجربة المستخدم، وتعطيل أنظمة الإنتاج، وتدمير البيانات أو التلاعب بها.

  • استخدمت فيها فقط برمجيات الاستغلال بالقدر الضروري لتأكيد وجود ثغرة أمنية. كما أنك لم تستخدم تلك البرمجيات لاختراق أو سرقة البيانات، أو الدخول المستمر لسطر الأوامر، أو استخدام الاستغلال للانحراف إلى أنظمة أخرى.

أنت مطلوب منك أيضاً:

  • العمل وفقاً للقواعد، بما في ذلك اتباع هذه السياسة وأي اتفاقيات أخرى متعلقة بها. إذا كان هناك أي تعارض بين هذه السياسة وأي شروط أخرى معمول بها، سوف نعتبر أن هذه السياسة هي السائدة على أي شروط أخرى.

  • التفاعل فقط مع حسابات الاختبار الخاصة بك.

  • إنشاء حسابين (2) فقط إجمالاً لأي اختبار.

  • استخدم طرق التواصل الرسمية فقط للإفصاح عن معلومات الثغرات الأمنية و/أو مناقشتها معنا.

  • إرسال ثغرة أمنية واحدة في كل تقرير، إلا إذا كنت بحاجة إلى ذِكر سلسلة من الثغرات لتوضيح التأثير.

  • حذف جميع البيانات المسترجعة أثناء البحث بشكل آمن بمجرد تقديم التقرير.

  • إجراء الاختبار فقط على الأنظمة المعنية، واحترام الأنظمة والأنشطة الخارجية.

  • تجنُب استخدام أدوات الفحص الشديدة أو الآلية عالية الكثافة للعثور على الثغرات الأمنية.

  • عدم الإفصاح علناً عن أي ثغرة أمنية بدون موافقة كتابية مسبقة من Trading Point.

  • عدم تنفيذ أي هجمات لحجب الخدمة.

  • عدم استخدام أي هندسة اجتماعية و/أو هجمات أمنية مادية ضد مكاتب Trading Point، أو مستخدميها، أو موظفيها.

  • عدم إجراء اختبار آلي/نصي لنماذج الويب، وخاصة نماذج "اتصل بنا" المصممة للعملاء للتواصل مع فريق تجربة العملاء.

بمجرد إثبات وجود ثغرة أمنية أو مواجهة أي بيانات حساسة عن غير قصد (مثل بيانات التعريف الشخصية، أو بيانات مالية، أو بيانات الملكية، أو الأسرار التجارية لأي جهة/شخص)، يجب عليك إيقاف الاختبار وإخطارنا على الفور، وعدم إفشاء هذه البيانات لأي شخص آخر . يجب عليك أيضاً تقييد دخولك إلى الحد الأدنى من البيانات المطلوبة لتوضيح إثبات المفهوم بشكل فعال.

2.3 الإبلاغ عن الثغرات الأمنية/طرق التواصل الرسمية

الرجاء الإبلاغ عن المشكلات الأمنية/وجود ثغرات أمنية فعلية أو محتملة عبر vulnerability.disclosure@xmglobal.com، مع تقديم جميع المعلومات المناسبة. كلما زادت التفاصيل التي تقدمها، كان من الأسهل لنا فرز وتحليل المشكلة وحلها.

لمساعدتنا على فرز وتحليل الإبلاغات المرسلة وتحديد أولوياتها، ننصحك بما يلي:

  • وصف لموقع أو مسار التطبيق المكتشف فيه الثغرة الأمنية والتأثير المحتمل للاستغلال.

  • تقديم وصفاً تفصيلياً للخطوات اللازمة لإعادة إنتاج الثغرة الأمنية (من المفيد استخدام نصوص إثبات المفهوم أو لقطات الشاشة).

  • تضمين أكبر قدر ممكن من التفاصيل.

  • توضيح عنوان IP الذي كنت تختبر منه، وعنوان البريد الإلكتروني، ووكيل المستخدم واسم/أسماء المستخدم المستخدمة في منصة التداول (إن وُجدت).

  • التقديم باللغة الإنجليزية، إن أمكن.

إذا كنت تعتقد أن الثغرة خطيرة أو أنها تحتوي على معلومات حساسة، يمكنك إرسال بريد إلكتروني مشفر إلى فريقنا مستخدماً بصمة المفتاح العام الخاص بنا.

2.4. الثغرات المعنية وغير المعنية

أ) الأنظمة/الخدمات المعنية

النطاقات

https://www.xm.comhttps://my.xm.com

تطبيق Android

تطبيق XM Android (com.xm.webapp)

تطبيق iOS

تطبيق XM iOS (id1072084799)

ب) الأنظمة/الخدمات غير المعنية

أي خدمة (مثل الخدمات المتصلة)، أو نظام، أو نطاق غير مدرج صراحةً في قسم "الأنظمة/الخدمات المعنية" أعلاه يعتبر غير معني وغير مصرح باختباره. بالإضافة إلى ذلك، فإن الثغرات الأمنية الموجودة في أنظمة موردينا لا تخضع لهذه السياسة ويجب إبلاغ البائع بها مباشرةً وفقاً لسياسة الإفصاح الخاصة به (إن وُجدت). إذا لم تكن متأكداً مما إذا كان النظام معنياً أم لا، يمكنك التواصل معنا على vulnerability.disclosure@xmglobal.com.

ج) الثغرات الأمنية المعنية

  • إدخال SQL

  • هجوم حقن النصوص البرمحية عبر موقع وسيط (XSS)

  • تنفيذ التعليمات البرمجية عند بُعد (RCE)

  • تزوير الطلب من جانب السيرفر (SSRF)

  • تعطل التصريح أو إدارة الجلسة

  • المتغير المباشر غير الآمن (IDOR)

  • التعرض للبيانات الحساسة

  • اجتياز الدليل/المسار

  • تضمين ملف محلي/عن بُعد

  • تزوير الطلبات عبر المواقع (CSRF) بتأثير كبير يمكن إثباته

  • إعادة التوجيه المفتوحة للمعايير الحساسة

  • الاستيلاء على النطاق الفرعي (للاستيلاء على النطاق الفرعي، أضف رسالة ودية مثل: "نحن نعمل على ذلك وسنعود قريباً.")

د) الثغرات الأمنية غير المعنية

تعتبر بعض الثغرات الأمنية غير معنية في برنامج الإفصاح عن الثغرات. نذكر من تلك الثغرات غير المعنية — على سبيل المثال لا الحصر — ما يلي:

  • مشكلات تهيئة البريد مثل إعدادات إطار سياسة المرسل، ومفاتيح النطاق المحددة للبريد، ومعيار DMARC (مصادقة الرسائل المستندة إلى المجال والإبلاغ عنها ومطابقتها)

  • ثغرات خداع المستخدم للضغط على شيء مختلف التي لا تؤدي إلى إجراءات حساسة، مثل تعديل الحساب

  • هجمة XSS ذاتية (كخداع المستخدم للصق كود في متصفح الويب الخاص به)

  • انتحال المحتوى حيث يكون التأثير الناتج ضئيلاً (مثل إدخال نص بخلاف HTML)

  • تزوير الطلبات عبر المواقع (CSRF) حيث يكون التأثير الناتج ضئيلاً (مثل التأثير على نماذج تسجيل الدخول أو تسجيل الخروج)

  • إعادة التوجيه المفتوحة — إلا إذا أمكن إثبات تأثير أمني إضافي

  • هجمات CRLF حيث يكون التأثير الناتج ضئيلاً

  • إدخال عنوان المضيف حيث يكون التأثير الناتج ضئيلاً

  • عدم وجود علامة HttpOnly أو العلامات الآمنة في ملفات الكوكيز غير الحساسة

  • عدم وجود أفضل الممارسات في تهيئة SSL/TLS

  • عدم وجود HTTP أو تهيئته بشكل خاطئ (مثل CSPو HSTS)

  • النموذج لا يحتوي على رموز كابشا

  • سرد اسم المستخدم/البريد الإلكتروني عبر رسالة خطأ تخص صفحة تسجيل الدخول

  • سرد اسم المستخدم/البريد الإلكتروني عبر رسالة خطأ تخص رسالة "نسيت كلمة السر"

  • المشكلات التي تتطلب تفاعلاً غير متوقع من المستخدم

  • تعقيد كلمة السر أو أي مشكلة أخرى تتعلق بسياسات الحساب أو كلمة السر

  • عدم وجود مهلة الجلسة

  • هجوم القوة العمياء

  • مشكلات تحديد المعدل للإجراءات البسيطة

  • الثغرات الأمنية في WordPress بدون دليل على قابلية استغلالها

  • اكتشاف الثغرات الأمنية في نسخة البرمجيات بدون دليل على قابلية استغلالها

  • أي نشاط قد يؤدي إلى تعطيل خدماتنا

  • عدم وجود حماية الجذر/تجاوز حماية الجذر (تطبيقات الهاتف المحمول)

  • عدم وجود تثبيت لشهادة SSL/تجاوز تثبيت شهادة SSL (تطبيقات الهاتف المحمول)

  • عدم وجود تشويش على الكود (تطبيقات الهاتف المحمول)

2.5. فترات الرد

تلتزم Trading Point بالتنسيق معك بأكبر قدر ممكن من الانفتاح والسرعة، وستبذل قصارى جهدها للرد خلال الفترات التالية للباحثين المشاركين في برنامجنا:

  • الوقت اللازم للرد الأول (من يوم تقديم التقرير) هو ثلاثة (3) أيام عمل. في غضون ثلاثة أيام عمل، سنقر باستلام تقريرك.

  • مدة الفرز والتحليل (من تقديم التقرير) هي خمسة (5) أيام عمل.

سوف نؤكد لك وجود الثغرة الأمنية — بأقصى ما في وسعنا — وسنكون واضحين قدر الإمكان بشأن الخطوات التي نتخذها أثناء عملية الإصلاح، بالإضافة إلى المشكلات أو التحديات التي قد تؤخر الحل. سنحاول إطلاعك على تقدمنا خلال العملية.

3. المكافآت

نحن نقدر من يبذلون الوقت والجهد للإبلاغ عن الثغرات الأمنية وفقاً لهذه السياسة. ولكن، لا نقدم حالياً أي مكافآت لاكتشاف هذه الثغرات. هذا الأمر عُرضة للتغيير في المستقبل.

4. الملاحظات

إذا أردت تقديم ملاحظات أو اقتراحات تخص هذه السياسة، يمكنك التواصل معنا على vulnerability.disclosure@xmglobal.com.

شكراً لك على المساعدة في الحفاظ على أمان Trading Point ومستخدميها.

5. بصمة المفتاح العام

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

ملحوظة: فضلاً قم بتشفير رسائلك باستخدام بصمة المفتاح العام (PGP) الموضحة أعلاه وذِكر مفتاحك العام في البريد الإلكتروني.