Kebijakan Pengungkapan Kerentanan

Selamat Datang di Funding Societies | Modalku Vulnerability Disclosure Program (VDP). Kebijakan ini dirancang untuk mendorong peneliti keamanan dan masyarakat umum agar secara bertanggung jawab melaporkan kerentanan keamanan yang mungkin mereka temukan di Situs Web/Cloud/Aplikasi Seluler Kami. Upaya Anda membantu kami menjaga lingkungan yang aman dan terjamin bagi pengguna kami.

• Memastikan data nasabah kami aman dan produk serta layanan kami dapat diandalkan adalah prioritas utama bagi Modalku. Oleh karena itu, kami bertujuan untuk merancang dan membuat produk dan layanan dengan tingkat keamanan dan keandalan tertinggi.

• Kebijakan ini menjelaskan pendekatan Modalku dalam meminta dan menerima laporan terkait potensi kerentanan dan kesalahan pada produk dan layanannya.
  Pelanggan, pengguna, peneliti, mitra, dan orang lain yang berinteraksi dengan produk dan layanan Modalku dianjurkan untuk melaporkan kerentanan dan kesalahan yang teridentifikasi berdasarkan rincian yang diberikan di halaman ini.

• Modalku sangat mengapresiasi upaya yang dilakukan pihak pelapor dalam mengidentifikasi kerentanan atau kesalahan. Hal ini akan berkontribusi pada peningkatan keamanan dan keandalan produk dan layanan kami.

Aturan Keterlibatan:

1. Laporan yang dapat dipertanggung jawabkan: Saat melaporkan potensi kerentanan dan kesalahan dalam produk dan layanan Modalku, patuhi pedoman tertentu. Aturan pertama adalah Anda tidak boleh mengeksploitasi atau memanfaatkan kerentanan atau kesalahan apa pun yang ditemukan untuk tujuan apa pun selain melaporkannya ke Modalku.

2. Etika Pengujian: Hindari pengujian atau penelitian apa pun yang bertujuan untuk merugikan Masyarakat Pendanaan, pemangku kepentingannya, atau mitranya. Pelaporan yang etis memastikan lingkungan yang aman.

3. Integritas Data: Menjaga integritas data. Jangan merusak, menghapus, mengubah, atau menghancurkan data yang diakses terkait dengan kerentanan. Hal ini menjaga integritas penyelidikan.

4. Aktivitas yang Dilarang: Aktivitas yang dilarang mencakup rekayasa sosial, spamming, phishing, penolakan layanan, serangan yang menguras sumber daya, menjalankan fuzzer/alat/skrip otomatis. Tindakan ini dilarang keras untuk pengujian.

5. Kepatuhan Hukum: Kepatuhan terhadap semua hukum yang berlaku adalah wajib. Tindakan yang mengarah pada laporan Anda tidak boleh melanggar undang-undang atau peraturan apa pun yang relevan.

6. Kerahasiaan: Jaga kerahasiaan. Jangan mengungkapkan informasi tentang laporan Anda, kerentanannya, atau mengekspos bahwa telah melaporkannya ke Modalku. Jangan mengungkapkan kerentanan atau rinciannya secara publik.

7. Eksploitasi Terbatas: Hanya mengeksploitasi kerentanan sejauh diperlukan untuk membuktikan keberadaannya; jangan mengeksploitasinya lebih jauh dari yang diperlukan.

8. Integritas Layanan: Jangan dengan sengaja merusak atau menurunkan integritas layanan Modalku.

9. Larangan Serangan Denial-of-Service (DOS): Jangan terlibat dalam segala bentuk serangan Denial-of-Service (DOS) terhadap layanan Modalku.

10. Menghormati Privasi: Jangan melanggar privasi pengguna lain, menghancurkan data, mengganggu layanan, atau terlibat dalam aktivitas berbahaya apa pun.

Proses Pelaporan:

Jika Anda yakin telah menemukan kerentanan celah keamanan, harap kirimkan laporan dengan mengirimkan email ke bugbounty@modalku.co.id dengan informasi berikut: penjelasan rinci tentang kerentanan, termasuk langkah-langkah untuk mereproduksinya, tangkapan layar terkait, video, atau bukti dari konsep yang dilakukan, dan informasi kontak Anda. Tim keamanan kami kemudian akan menyelidiki laporan tersebut dan memberi Anda informasi terkini tentang laporan yang Anda kirimkan. Melaporkan masalah keamanan kepada Modalku berarti Anda menyetujui syarat dan ketentuan yang diuraikan dalam Kebijakan Pengungkapan Kerentanan dan Aturan Keterlibatan.

Apresiasi:

Sebagai bentuk apresiasi kami atas laporan yang Anda lakukan dengan bertanggung jawab, kami akan memberikan apresiasi atau penghargaan melalui email. Selain itu, individu yang memberikan kontribusi besar terhadap keamanan layanan kami, seperti mengidentifikasi dan melaporkan kerentanan yang memiliki dampak akan ditampilkan di halaman Hall of Fame kami dengan persetujuan pengguna.

Kontak:

Jika Anda memiliki pertanyaan spesifik terkait ruang lingkup dan kerentanan program, Anda dapat menghubungi tim Modalku di bugbounty@modalku.co.id

Hall of Fame:

Tahun 2024

• Parth Narula - https://www.linkedin.com/in/parth-narula-86283821a

Di luar ruang lingkup:

• Subdomain takeover tanpa bukti yang bisa diverifikasi.

• Account harvesting (e.g. enumerasi username pada WordPress).

• Mendapatkan akses terhadap key dan informasi kredensial tanpa bisa digunakan.

• Lack of rate-limiting pada API endpoints, kecuali tidak ada limitasi terhadap token/pin dengan digit yang memungkinkan di lakukan teknik brute-forcing (contoh. 4 digit passcode tanpa validasi terhadap pembatasan jumlah request).

• Celah keamanan yang ditemukan di perangkat seluler yang telah di root.

• Enumerasi UUID.

• Celah SSL Pinning.

• Enumerasi pada Invite/Promo code.

• Open redirects. 99% dari celah open redirection memiliki dampak keamanan yang ringan. Tetapi kita juga masih mempertimbangkan beberapa kasus langka dimana memiliki dampak keamanan yang berat, seperti contohnya pencurian token oauths.

• Melaporkan versi perangkat lunak yang sudah kadaluarsa atau memiliki celah tanpa bukti atau dampak yang nyata.

• Melaporkan celah yang hanya berdampak pada versi user-agent atau aplikasi yang kadaluarsa – Kita hanya mempertimbangkan eksploitasi yang dilakukan menggunakan versi web browser yang terbaru pada Safari, FireFox, Chrome, Edge, IE dan versi aplikasi kita yang ada di Google Playstore atau AppStore.

• Stack traces, path disclosure, dan directory listings.

• CSV injection.

• Celah-celah tanpa ada dampak langsung.

• Laporan yang hanya berisi spekulasi tentang teori kerusakan – Kita menyarankan untuk selalu memberikan bukti disetiap laporan yang di kirimkan.

• Celah keamanan yang tidak bisa di eksploitasi oleh user lain atau Team Modalku – contohnya. Self-XSS (biasanya dapat dilakukan dengan menyematkan JavaScript pada konsul browser).

• Celah keamanan yang berada pada lingkungan sandbox atau staging.

• Celah keamanan yang dilaporkan oleh aplikasi otomatis tanpa ada tambahan analisis seperti bagaimana celah keamanan itu dapat ditemukan.

• Laporan celah keamanan yang didapat dari aplikasi pemindai otomatis untuk web aplikasi (Acunetix, Vega, dan lain-lain) tanpa validasi manual.

• Distributed denial of service attacks (DDOS) atau aktivitas yang bisa menyebabkan gangguan pada layanan.

• Celah keamanan Content injection.

• Cross-site Request Forgery (CSRF) dengan minimal dampak keamanan (Logout CSRF, dan lain-lain.)

• Missing cookie flags pada non-authentication cookies.

• Email Spoofing.

• Missing HTTP security headers.

• Lack of HTTPOnly dan Secure cookie flags.

• Celah keamanan yang membutuhkan akses terhadap perangkat fisik atau komputer korban.

• Laporan pemindaian SSL/TLS (hasil yang didapat dari aplikasi daring seperti SSL Labs).

• Celah Banner grabbing (Seperti mendapatkan versi dari web server yang kita gunakan).

• Celah port yang terbuka tanpa bisa menjelaskan bagaimana celah keamanan yang dimaksud dan memberikan dampak dari celah keamanan tersebut.

• Broken Link Hijacking.

• Memasuki kantor Modalku, melempar keripik ke mana-mana, melepaskan sekelompok rakun lapar, dan membajak terminal yang ditinggalkan di tempat kerja yang tidak terkunci sementara perhatian staf terganggu (social engineering).