Nuestro compromiso con la seguridad

MoneyLead se toma la seguridad muy en serio. Agradecemos el trabajo de los investigadores de seguridad que nos ayudan a proteger a nuestros usuarios y mejorar nuestros sistemas. Esta página describe nuestra política de divulgación de vulnerabilidades de seguridad y cómo informar sobre problemas de seguridad de forma responsable.

<b></b><b></b>

En alcance:

  • moneylead.gg y todos los subdominios
  • Todas las aplicaciones web públicas
  • Todos los puntos finales de la API
  • Mecanismos de autenticación y autorización.
  • Seguridad de almacenamiento y transmisión de datos

Fuera de alcance:

  • Ataques de ingeniería social
  • Pruebas de seguridad física
  • Ataques de denegación de servicio (DoS/DDoS)
  • Servicios de terceros (GitHub, proveedores de CDN, etc.)
  • Spam o ataques en redes sociales

Cómo informar

Al informar una vulnerabilidad de seguridad, incluya:

  1. Descripción - Explicación clara de la vulnerabilidad
  2. Pasos para reproducir - Pasos detallados para reproducir el problema
  3. Impacto - Posible impacto en la seguridad y usuarios afectados
  4. Prueba de concepto - Cualquier código PoC o capturas de pantalla
  5. Medio Ambiente - Navegador, sistema operativo y otros detalles relevantes
  6. Tu información de contacto - Cómo podemos comunicarnos con usted para realizar un seguimiento

Consejo: Para información confidencial, cifre su correo electrónico utilizando nuestra clave PGP.

Cronograma de respuesta

1️⃣ Respuesta inicial - Dentro de las 48 horas siguientes a la presentación del informe
2️⃣ Actualización de estatus - Dentro de 7 días con resultados de triaje
3️⃣ Cronograma de resolución - Depende de la gravedad (se comunica después del triaje)
4️⃣ Divulgación - Divulgación coordinada después de implementar la solución

Safe Harbor

Consideramos que la investigación de seguridad realizada de conformidad con esta política es:

  • Autorizado de conformidad con las leyes aplicables
  • Eximir de las restricciones de los Términos de Servicio que podrían interferir con la investigación
  • Legal y útil para la seguridad de nuestros sistemas

NO emprenderemos acciones legales contra los investigadores que:

  • Hacer un esfuerzo de buena fe para evitar violaciones e interrupciones de la privacidad.
  • Interactúe únicamente con cuentas de su propiedad o con permiso explícito
  • No explote vulnerabilidades más allá de la prueba de concepto
  • Informar sobre vulnerabilidades con prontitud
  • Mantenga los detalles de la vulnerabilidad confidenciales hasta que los hayamos abordado.

Cifrado

Para una comunicación segura sobre vulnerabilidades sensibles, utilice nuestra clave pública PGP para cifrar sus mensajes:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Nuestros detalles clave:

  • Tipo: RSA de 4096 bits
  • Huella dactilar: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • expira: 2027-10-14

AGRADECIMIENTOS

Creemos en reconocer a los investigadores de seguridad que nos ayudan a mejorar nuestra seguridad. Los investigadores que divulgan vulnerabilidades de forma responsable pueden ser:

  • Reconocido públicamente en nuestro sitio web (con permiso)
  • Agregado a nuestro salón de la fama de seguridad
  • Provisto de botín u otro reconocimiento

Nota: Actualmente no ofrecemos un programa de recompensas por errores, pero apreciamos profundamente la divulgación responsable y reconoceremos sus contribuciones.