我們對安全的承諾

MoneyLead 非常重視安全性問題。我們感謝安全研究人員的辛勤工作,他們幫助我們保護使用者並改進系統。本頁面概述了我們的安全漏洞揭露政策以及如何負責任地報告安全問題。

範圍

在適用範圍:

  • moneylead.gg 及其所有子域名
  • 所有面向公眾的 Web 應用程式
  • 所有 API 端點
  • 身份驗證和授權機制
  • Data storage and transmission security

超出範圍:

  • 社會工程學攻擊
  • 實體安全測試
  • 拒絕服務(DoS/DDoS)攻擊
  • 第三方服務(GitHub、CDN 提供者等)
  • 垃圾郵件或社群媒體攻擊

如何舉報

報告安全漏洞時,請包括:

  1. 簡介 - 清晰解釋漏洞
  2. 重現步驟 - 重現問題的詳細步驟
  3. 影響性 - 潛在的安全影響和受影響的用戶
  4. 概念證明 - 任何 PoC 程式碼或截圖
  5. 環境 - 瀏覽器、作業系統和其他相關詳細信息
  6. 您的聯繫方式 - 我們如何與您聯繫以進行後續跟進

小提示: 對於敏感訊息,請使用我們的 PGP 金鑰加密您的電子郵件。

響應時間表

1️⃣ 初步反應 - 報告提交後 48 小時內
2️⃣ 狀態更新 - 7天內提供分診結果
3️⃣ 解決時間表 - 取決於嚴重程度(分類後告知)
4️⃣ 揭露聲明 - 修復部署後協調揭露

安全港

我們認為根據本政策進行的安全研究是:

  • 合法 根據適用法律
  • 豁免 服務條款限制可能會幹擾研究
  • 合法的 並有助於我們系統的安全

我們不會採取法律行動 針對以下研究者:

  • 盡最大努力避免侵犯和乾擾隱私
  • 僅與您擁有的帳戶或獲得明確許可的帳戶互動
  • 不要利用概念驗證以外的漏洞
  • 及時報告漏洞
  • 在我們解決漏洞問題之前,請先對漏洞細節保密

加密

為了就敏感漏洞進行安全通信,請使用我們的 PGP 公鑰加密您的訊息:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

我們的關鍵細節:

  • 類型: RSA 4096位
  • 指紋: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • 過期: 2027-10-14

致謝

我們致力於表彰那些幫助我們提升安全性的安全研究人員。負責任地揭露漏洞的研究人員可能包括:

  • 在我們的網站上公開承認(經許可)
  • 已加入我們的安全名人堂
  • 提供贈品或其他認可

注意:我們目前不提供漏洞賞金計劃,但我們非常感謝負責任的披露並將承認您的貢獻。