Richtlinie zur verantwortungsvollen Offenlegung

Einführung

Bei EastCapital setzen wir uns für die Sicherheit unserer Informationen, Systeme und Dienste ein und schätzen die Rolle von Sicherheitsforschern, die uns dabei helfen, Cyber-Sicherheitsrisiken zu mindern. Wenn Sie glauben, eine vermutete Cyber-Bedrohung oder Sicherheitslücke entdeckt zu haben, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen, Systeme oder Dienste von EastCapital beeinträchtigt, übermitteln Sie bitte über eine der unten aufgeführten Methoden einen Bericht an unser Sicherheitsteam. Zum Schutz unserer Kunden behandeln wir alle Informationen zu einer Sicherheitslücke vertraulich und bitten Sie, die Details vermuteter Sicherheitsprobleme nicht öffentlich bekannt zu geben, zu diskutieren oder zu bestätigen. Indem Sie einen Schwachstellenbericht einreichen, stimmen Sie den nachstehenden Bedingungen (den „Nutzungsbedingungen“) zu, die sowohl Sie als auch uns schützen sollen.


Melden Sie ein Sicherheitsproblem
Wenn Sie eine Sicherheitslücke festgestellt haben, senden Sie uns bitte schnellstmöglich eine Benachrichtigung per E-Mail an security@EastCapital.io.


Bitte fügen Sie Ihrem Bericht folgende Informationen bei:

die Art der identifizierten Schwachstelle
der von der Sicherheitslücke betroffene Dienst/das Produkt/die URL
eine detaillierte Beschreibung der Schwachstelle
die Informationen, die zur Reproduktion des Problems erforderlich sind
die IP-Adresse(n), von der aus die Sicherheitslücke identifiziert wurde, zusammen mit Datum und Uhrzeit der Entdeckung
alle Dateien, die bei der Reproduktion der Schwachstelle helfen können (z. B. Screenshots, Bilder, Textdateien mit Beschreibungsdetails, PoC, Quellcode, Skripte, PCAP-Traces, Protokolle, Quell-IP-Adressen usw.)

Wir akzeptieren nur Einsendungen, die einen vollständigen Proof of Concept enthalten, der eine Beschreibung enthält, wie die Schwachstelle ausgenutzt werden kann und wie sich dies auf die Dienste von EastCapital auswirkt.


Was ist nicht erlaubt?

Obwohl wir Sicherheitsforschung zu unseren Produkten und Dienstleistungen fördern, sind die folgenden Arten von Forschung strengstens untersagt:


Nutzung einer erkannten Schwachstelle, um mehr Informationen zu erhalten, als zum Nachweis der Schwachstelle erforderlich sind.
Nutzung der erkannten Schwachstelle zum Ausspionieren, Ändern, Löschen oder Verbreiten persönlicher oder sensibler Daten.
Auf Konten oder Informationen zuzugreifen oder darauf zuzugreifen, für die Sie keine Berechtigung haben
Jeder Versuch, Informationen zu ändern oder zu zerstören
Senden oder Versuch, unerwünschte oder nicht autorisierte E-Mails oder andere Arten von Nachrichten zu senden
Durchführen von Social Engineering (einschließlich Phishing) gegenüber Mitarbeitern, Auftragnehmern, Kunden oder anderen verbundenen Parteien der Gruppe
Das Veröffentlichen, Übertragen, Hochladen, Verknüpfen, Senden oder Speichern von Malware, die sich auf unsere Dienste, Produkte oder Kunden auswirken könnte
Exfiltration, Offenlegung oder Nutzung geschützter oder vertraulicher Informationen oder Daten von Finoa (einschließlich Kundendaten) unter keinen Umständen
Alle körperlichen Angriffe auf das Eigentum von EastCapital
Alle Versuche eines Denial-of-Service-Angriffs (DoS/DDOS) oder Brute-Force-Angriffe auf Anmeldeseiten
Jede Aktivität oder jeder Versuch, sich unbefugten Zugriff auf die Software oder Systeme von EastCapital zu verschaffen, verstößt gegen das Gesetz.


Umfang

Alle East Capital-eigenen Websites, Webdienste oder mobilen Anwendungen, die einigermaßen vertrauliche Benutzerdaten verarbeiten, sollen in den Geltungsbereich fallen. Beispiele hierfür sind praktisch alle Inhalte in den folgenden Bereichen:


www.EastCapital.io/trade/
account.EastCapital.io
api.EastCapital.io
East Capital 2FA mobile App für Android und iOS

Außerhalb des Gültigkeitsbereichs liegende Sicherheitslücken

Die folgenden Schwachstellen gelten als außerhalb des Geltungsbereichs unseres Programms zur verantwortungsvollen Offenlegung:


Domänen

Alle Domänen, die nicht im Abschnitt „Domänen“ aufgeführt sind, fallen nicht in den Geltungsbereich dieses Programms
Anwendung
Self-XSS kann nicht dazu verwendet werden, andere Benutzer auszunutzen
Ausführliche Nachrichten/Dateien/Verzeichnislisten ohne Offenlegung vertraulicher Informationen
CORS-Fehlkonfiguration auf nicht sensiblen Endpunkten
Fehlende Cookie-Flags
Fehlende Sicherheitsheader
Cross-Site Request Forgery ohne oder mit geringen Auswirkungen
Vorhandensein eines Autovervollständigungsattributs in Webformularen
Umgekehrtes Tabnabbing
Umgehung von Tarifbegrenzungen oder das Nichtvorhandensein von Tariflimits.
Verstöße gegen Best Practices (Passwortkomplexität, Ablauf, Wiederverwendung usw.)
Clickjacking auf Seiten ohne sensible Aktionen
CSV-Injektion
Hyperlink-Injection/-Übernahmen
Probleme mit gemischten Inhaltstypen
Domainübergreifendes Referrer-Leck
Alles, was mit E-Mail-Spoofing, SPF, DMARC oder DKIM zu tun hat
Inhaltsinjektion
Benutzername/E-Mail-Aufzählung
E-Mail-Bombenangriff
Schmuggel von HTTP-Anfragen ohne nachgewiesene Auswirkungen
Homograph-Angriffe
XMLRPC aktiviert
Banner-Grabbering/Versionsoffenlegung
Offene Ports ohne begleitenden Proof-of-Concept, der die Schwachstelle nachweist
Schwache SSL-Konfigurationen und SSL/TLS-Scanberichte
Metadaten von Bildern werden nicht entfernt
Offenlegung von API-Schlüsseln ohne nachgewiesene Auswirkungen
Same-Site-Scripting
Subdomain-Übernahme, ohne die Subdomain übernommen zu haben
Willkürlicher Datei-Upload ohne Nachweis der Existenz der hochgeladenen Datei
Blindes SSRF ohne nachgewiesene geschäftliche Auswirkungen (DNS-Pingback allein reicht nicht aus)
Offengelegter und/oder falsch konfigurierter Google API-Schlüssel (einschließlich Karten)
Host-Header-Injektion ohne nachgewiesene geschäftliche Auswirkungen.

Allgemein

Falls dem Unternehmen eine gemeldete Schwachstelle bereits bekannt war, wird sie als Duplikat gekennzeichnet
Theoretische Sicherheitsprobleme ohne realistische Exploit-Szenarien oder Probleme, deren Ausnutzung komplexe Endbenutzerinteraktionen erfordern würde, können ausgeschlossen oder in ihrem Schweregrad herabgesetzt werden
Spam, Social Engineering und physisches Eindringen
DoS/DDoS-Angriffe
Brute-Force-Angriffe auf Anmeldeseiten
Schwachstellen, die auf nicht aktuelle Browser (älter als 3 Versionen) beschränkt sind, werden nicht akzeptiert
Angriffe, die physischen Zugriff auf den Computer/das Gerät eines Opfers, Man-in-the-Middle oder kompromittierte Benutzerkonten erfordern
Kürzlich bekannt gewordene Zero-Day-Schwachstellen in kommerziellen Produkten, für die kein Patch oder ein aktueller Patch (< 2 Wochen) verfügbar ist, würden einen Zeitraum von 2 Wochen nach Offenlegung der Zero-Day-Schwachstelle erfordern, bevor sie uns gemeldet werden.
Berichte, die besagen, dass Software veraltet/anfällig ist, ohne dass ein Proof-of-Concept vorliegt.

Handy, Mobiltelefon

Geteilte Links sind durch die Zwischenablage des Systems durchgesickert
Alle URIs sind durchgesickert, weil eine bösartige App die Berechtigung hat, geöffnete URIs anzuzeigen
Das Fehlen einer Zertifikatsfestlegung
Sensible Daten in URLs/Anfragetexten, wenn sie durch TLS geschützt sind
Fehlende Verschleierung
Offenlegung des Pfads in der Binärdatei
Fehlende Jailbreak- und Root-Erkennung
Abstürze aufgrund fehlerhafter URL-Schemata
Fehlende Kontrollen zum Binärschutz (Anti-Debugging), mobiles SSL-Pinning
Snapshot/Pasteboard-Leck
Runtime-Hacking-Exploits (Exploits nur in einer Umgebung mit Jailbreak möglich)
API-Schlüsselleck, das für unsensible Aktivitäten/Aktionen verwendet wird
Angriffe, die einen physischen Zugriff auf das Gerät des Opfers erfordern

Der „Safe Harbor“ für Forscher wird angewendet

EastCapital betrachtet ethische Hacking-Aktivitäten, die im Einklang mit den Forscherrichtlinien, der Programmbeschreibung und den Einschränkungen (den Bedingungen) durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Strafrechts.


Unter ethischem Hacking versteht man die Aktivitäten, die im Namen von EastCapital durchgeführt werden, mit der Absicht, EastCapital bei der Identifizierung der im Geltungsbereich aufgeführten Cybersicherheitsrisiken und bei deren Behebung zu helfen und zu unterstützen.


EastCapital wird keine Zivilklage einleiten oder eine Beschwerde wegen versehentlicher Verstöße nach Treu und Glauben einreichen, noch werden wir eine Beschwerde wegen der Umgehung technischer Maßnahmen einreichen, die wir zum Schutz des Umfangs im Rahmen Ihrer ethischen Hacking-Aktivitäten einsetzen.


Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie die Bedingungen eingehalten haben, wird EastCapital Schritte unternehmen, um bekannt zu geben, dass Ihre Handlungen in Übereinstimmung mit unserer Zustimmung und durchgeführt wurden.


Ungeachtet dessen behält sich EastCapital das Recht vor, zivil- oder strafrechtliche Schritte einzuleiten oder eine Beschwerde einzureichen und eine Beschwerde wegen Umgehung technischer Maßnahmen einzureichen, wenn EastCapital der Meinung ist, dass die im Abschnitt „Was ist nicht erlaubt“ eingeschränkten Aktivitäten durchgeführt werden oder die Hacking-Aktivitäten damit durchgeführt werden böswillige Absichten.


Wenn Sie nicht sicher sind, ob Ihr Verhalten dieser Richtlinie entspricht, kontaktieren Sie uns bitte zuerst unter security@EastCapital.io und wir werden unser Bestes tun, um dies zu klären.


Nutzungsbedingungen und Richtlinien für die Berichterstattung

Um einen kollaborativen Ansatz zu gewährleisten, beachten Sie bitte die unten aufgeführten Richtlinien


Sie kontaktieren uns in Ihrer persönlichen Eigenschaft und sind mindestens 18 Jahre alt oder haben das 16. Lebensjahr vollendet und haben die Erlaubnis Ihrer Eltern oder Erziehungsberechtigten.
Sie erklären sich damit einverstanden, dass alle mündlichen oder schriftlichen Informationen, die zwischen Ihnen und EastCapital im Zusammenhang mit diesen Nutzungsbedingungen ausgetauscht werden, vertraulich sind. Sie wahren die Vertraulichkeit aller dieser vertraulichen Informationen und geben keine relevanten vertraulichen Informationen, einschließlich der Informationen, die Sie während des Tests erhalten haben, an Dritte weiter, ohne die schriftliche Zustimmung von EastCapital einzuholen. Sie erklären sich außerdem damit einverstanden, alle vertraulichen Informationen, die Sie während des Tests erhalten haben, unverzüglich nach der Meldung an uns zu löschen.
Sie werden Sicherheits- und Schwachstellenforschung nur als Blackbox durchführen, es sei denn, EastCapital stellt Ihnen ausdrücklich ein Konto für Sicherheitstestzwecke zur Verfügung. Sie werden keine Social-Engineering- oder Brute-Force-Methoden anwenden, um an vertrauliche Anmeldeinformationen zu gelangen. Sie werden sich nicht an Aktivitäten beteiligen, die EastCapital, unseren Kunden, Mitarbeitern, Dienstleistungen und/oder Vermögenswerten schaden könnten.
Sie erklären sich damit einverstanden, alle geltenden Gesetze und Vorschriften im Zusammenhang mit Ihren Sicherheitsforschungsaktivitäten einzuhalten
Sie geben uns eine angemessene Gelegenheit zur Untersuchung und Antwort, bevor Sie in dieser Angelegenheit Kontakt zu anderen Personen aufnehmen.
Durch die Übermittlung von Informationen zu einer Schwachstelle gewähren Sie uns eine unbefristete, weltweite, gebührenfreie und vollständig bezahlte Lizenz zur Nutzung und Offenlegung aller von Ihnen übermittelten Informationen, einschließlich aller Konzeptnachweise, Patches, Verbesserungen, Vorschläge, Codebeispiele usw Alle anderen Informationen im Zusammenhang mit der Schwachstelle, um unsere Systeme und Netzwerke zu analysieren, zu beheben oder zu verbessern, sie in unsere Produkte oder Dienstleistungen zu integrieren und weitere Tests durchzuführen oder für andere legitime Geschäftszwecke. Wir gewähren Ihnen im Zusammenhang mit diesen Nutzungsbedingungen keine geistigen Eigentumsrechte an Bildern, Informationen, Texten, Erfindungen, Codes oder anderen Kreationen.
Nichts im Zusammenhang mit Ihrer Meldung einer Schwachstelle deutet darauf hin, dass Sie ein Mitarbeiter von EastCapital sind, und die Beziehung zwischen Ihnen und EastCapital stellt keine Partnerschaft, kein Joint Venture oder keine Agentur dar. Sie sind nicht befugt, im Namen von FundLogic Erklärungen, Darstellungen oder Verpflichtungen abzugeben.
EastCapital, seine verbundenen Unternehmen, Vertreter, Auftragnehmer und Mitarbeiter haften Ihnen gegenüber im Zusammenhang mit diesen Nutzungsbedingungen nicht für direkte, indirekte, exemplarische, zufällige, besondere oder Folgeschäden. Sofern mit EastCapital nichts anderes vereinbart wurde, werden alle von Ihnen im Zusammenhang mit einer Schwachstelle übermittelten Informationen kostenlos zur Verfügung gestellt und EastCapital schuldet Ihnen keine Gebühr für diese Übermittlung oder erbrachte Dienstleistungen oder entstandene Kosten.

Im Namen von uns selbst, unseren Nutzern und Kunden möchten wir Ihnen noch einmal dafür danken, dass Sie uns dabei helfen, unsere Cybersicherheit zu verbessern.


EastCapital behält sich das Recht vor, nach eigenem Ermessen die Bedingungen der Responsible Disclosure Guidelines zu ändern oder sie jederzeit ganz oder teilweise zu kündigen.