Notre engagement en matière de sécurité

MoneyLead prend la sécurité au sérieux. Nous apprécions le travail des chercheurs en sécurité qui nous aident à protéger nos utilisateurs et à améliorer nos systèmes. Cette page présente notre politique de divulgation des vulnérabilités de sécurité et explique comment signaler les problèmes de sécurité de manière responsable.

Domaine

Portée:

  • moneylead.gg et tous les sous-domaines
  • Toutes les applications Web publiques
  • Tous les points de terminaison de l'API
  • Mécanismes d'authentification et d'autorisation
  • Sécurité du stockage et de la transmission des données

Hors champ :

  • Attaques d'ingénierie sociale
  • Tests de sécurité physique
  • Attaques par déni de service (DoS/DDoS)
  • Services tiers (GitHub, fournisseurs CDN, etc.)
  • Spam ou attaques sur les réseaux sociaux

Comment signaler

Lorsque vous signalez une vulnérabilité de sécurité, veuillez inclure :

  1. Description - Explication claire de la vulnérabilité
  2. Étapes pour reproduire - Étapes détaillées pour reproduire le problème
  3. Impact - Impact potentiel sur la sécurité et utilisateurs concernés
  4. Proof of Concept - Tout code PoC ou captures d'écran
  5. Environnement - Navigateur, système d'exploitation et autres détails pertinents
  6. Vos coordonnées - Comment pouvons-nous vous contacter pour un suivi

Astuce: Pour les informations sensibles, veuillez crypter votre e-mail à l'aide de notre clé PGP.

Calendrier de réponse

1️⃣ Réponse initiale - Dans les 48 heures suivant la soumission du rapport
2️⃣ Mise à jour du statut - Dans les 7 jours avec les résultats du triage
3️⃣ Chronologie de la résolution - Selon la gravité (communiqué après le triage)
4️⃣ Divulgation - Divulgation coordonnée après le déploiement du correctif

Safe Harbor

Nous considérons que les recherches en matière de sécurité menées conformément à cette politique sont :

  • Autorisé conformément aux lois applicables
  • Exempter des restrictions des conditions d'utilisation qui pourraient interférer avec la recherche
  • Légitime et utile à la sécurité de nos systèmes

Nous n'engagerons aucune action en justice. contre les chercheurs qui :

  • Faites un effort de bonne foi pour éviter les violations et les perturbations de la vie privée
  • Interagissez uniquement avec les comptes dont vous êtes propriétaire ou avec une autorisation explicite
  • N'exploitez pas les vulnérabilités au-delà de la preuve de concept
  • Signalez rapidement les vulnérabilités
  • Gardez les détails de la vulnérabilité confidentiels jusqu'à ce que nous les ayons résolus

Chiffrement

Pour une communication sécurisée sur les vulnérabilités sensibles, veuillez utiliser notre clé publique PGP pour crypter vos messages :

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Nos détails clés :

  • Catégorie: RSA 4096 bits
  • Empreinte digitale: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Expire: 2027-10-14

Sécurité.txt

Nous suivons le RFC 9116 Norme pour le fichier security.txt. Vous trouverez notre politique de sécurité lisible par machine à l'adresse suivante :

https://moneylead.gg/.well-known/security.txt

(PGP signé et conforme à la RFC 9116)

Remerciements

Nous croyons qu'il est important de reconnaître les chercheurs en sécurité qui nous aident à améliorer notre sécurité. Les chercheurs qui divulguent les vulnérabilités de manière responsable peuvent être :

  • Reconnu publiquement sur notre site Web (avec permission)
  • Ajouté à notre panthéon de la sécurité
  • Fourni avec des cadeaux ou une autre reconnaissance

Remarque : nous ne proposons actuellement pas de programme de chasse aux bugs, mais nous apprécions profondément la divulgation responsable et reconnaîtrons vos contributions.