Il nostro impegno per la sicurezza

MoneyLead prende molto sul serio la sicurezza. Apprezziamo il lavoro dei ricercatori di sicurezza che ci aiutano a proteggere i nostri utenti e a migliorare i nostri sistemi. Questa pagina descrive la nostra politica di divulgazione delle vulnerabilità di sicurezza e come segnalare responsabilmente i problemi di sicurezza.

Obbiettivo

Nell'ambito:

  • moneylead.gg e tutti i sottodomini
  • Tutte le applicazioni web rivolte al pubblico
  • Tutti gli endpoint API
  • Meccanismi di autenticazione e autorizzazione
  • Sicurezza dell'archiviazione e della trasmissione dei dati

Fuori ambito:

  • Attacchi di ingegneria sociale
  • Test di sicurezza fisica
  • Attacchi Denial of Service (DoS/DDoS)
  • Servizi di terze parti (GitHub, provider CDN, ecc.)
  • Spam o attacchi sui social media

Come segnalare

Quando segnali una vulnerabilità di sicurezza, includi:

  1. Descrizione - Spiegazione chiara della vulnerabilità
  2. Passi per la riproduzione - Passaggi dettagliati per riprodurre il problema
  3. Impact - Potenziale impatto sulla sicurezza e utenti interessati
  4. Verifica teorica - Qualsiasi codice PoC o screenshot
  5. Ambiente - Browser, sistema operativo e altri dettagli rilevanti
  6. Le tue informazioni di contatto - Come possiamo contattarti per un follow-up

Suggerimento: Per informazioni sensibili, crittografa la tua e-mail utilizzando la nostra chiave PGP.

Tempistica della risposta

1️⃣ Risposta iniziale - Entro 48 ore dalla presentazione del rapporto
2️⃣ Aggiornamento di stato - Entro 7 giorni con i risultati del triage
3️⃣ Cronologia della risoluzione - Dipende dalla gravità (comunicata dopo il triage)
4️⃣ Rivelazione - Divulgazione coordinata dopo l'implementazione della correzione

Porto sicuro

Riteniamo che la ricerca sulla sicurezza condotta in conformità con questa politica sia:

  • Autorizzato in conformità con le leggi applicabili
  • Esonerare dalle restrizioni dei Termini di servizio che potrebbero interferire con la ricerca
  • legale e utile alla sicurezza dei nostri sistemi

NON intraprenderemo azioni legali contro i ricercatori che:

  • Fare uno sforzo in buona fede per evitare violazioni e interruzioni della privacy
  • Interagisci solo con gli account di tua proprietà o con autorizzazione esplicita
  • Non sfruttare vulnerabilità oltre la proof-of-concept
  • Segnalare tempestivamente le vulnerabilità
  • Mantenere riservati i dettagli delle vulnerabilità finché non li abbiamo risolti

crittografia

Per comunicazioni sicure su vulnerabilità sensibili, utilizza la nostra chiave pubblica PGP per crittografare i tuoi messaggi:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

I nostri dettagli principali:

  • Tipo: RSA a 4096 bit
  • Impronta digitale: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Scade: 2027-10-14

Sicurezza.txt

Seguiamo il RFC 9116 standard per security.txt. Puoi trovare la nostra politica di sicurezza in formato leggibile da computer all'indirizzo:

https://moneylead.gg/.well-known/security.txt

(PGP firmato e conforme a RFC 9116)

Ringraziamenti

Crediamo nel riconoscimento dei ricercatori di sicurezza che ci aiutano a migliorare la nostra sicurezza. I ricercatori che divulgano responsabilmente le vulnerabilità possono essere:

  • Riconosciuto pubblicamente sul nostro sito web (con autorizzazione)
  • Aggiunto alla nostra hall of fame della sicurezza
  • Fornito con gadget o altro riconoscimento

Nota: al momento non offriamo un programma di bug bounty, ma apprezziamo molto la divulgazione responsabile e riconosceremo i vostri contributi.