Kebijakan Pengungkapan Kerentanan

Selamat Datang di Funding Societies | Modalku Vulnerability Disclosure Program (VDP). Kebijakan ini dirancang untuk mendorong peneliti keamanan dan masyarakat umum agar secara bertanggung jawab melaporkan kerentanan keamanan yang mungkin mereka temukan di Situs Web/Cloud/Aplikasi Seluler Kami. Upaya Anda membantu kami menjaga lingkungan yang aman dan terjamin bagi pengguna kami.

  • Memastikan data nasabah kami aman dan produk serta layanan kami dapat diandalkan adalah prioritas utama bagi Modalku. Oleh karena itu, kami bertujuan untuk merancang dan membuat produk dan layanan dengan tingkat keamanan dan keandalan tertinggi.

  • Kebijakan ini menjelaskan pendekatan Modalku dalam meminta dan menerima laporan terkait potensi kerentanan dan kesalahan pada produk dan layanannya.
    Pelanggan, pengguna, peneliti, mitra, dan orang lain yang berinteraksi dengan produk dan layanan Modalku dianjurkan untuk melaporkan kerentanan dan kesalahan yang teridentifikasi berdasarkan rincian yang diberikan di halaman ini.

  • Modalku sangat mengapresiasi upaya yang dilakukan pihak pelapor dalam mengidentifikasi kerentanan atau kesalahan. Hal ini akan berkontribusi pada peningkatan keamanan dan keandalan produk dan layanan kami.

Aturan Keterlibatan:

  1. Laporan yang dapat dipertanggung jawabkan: Saat melaporkan potensi kerentanan dan kesalahan dalam produk dan layanan Modalku, patuhi pedoman tertentu. Aturan pertama adalah Anda tidak boleh mengeksploitasi atau memanfaatkan kerentanan atau kesalahan apa pun yang ditemukan untuk tujuan apa pun selain melaporkannya ke Modalku.

  2. Etika Pengujian: Hindari pengujian atau penelitian apa pun yang bertujuan untuk merugikan Masyarakat Pendanaan, pemangku kepentingannya, atau mitranya. Pelaporan yang etis memastikan lingkungan yang aman.

  3. Integritas Data: Menjaga integritas data. Jangan merusak, menghapus, mengubah, atau menghancurkan data yang diakses terkait dengan kerentanan. Hal ini menjaga integritas penyelidikan.

  4. Aktivitas yang Dilarang: Aktivitas yang dilarang mencakup rekayasa sosial, spamming, phishing, penolakan layanan, serangan yang menguras sumber daya, menjalankan fuzzer/alat/skrip otomatis. Tindakan ini dilarang keras untuk pengujian.

  5. Kepatuhan Hukum: Kepatuhan terhadap semua hukum yang berlaku adalah wajib. Tindakan yang mengarah pada laporan Anda tidak boleh melanggar undang-undang atau peraturan apa pun yang relevan.

  6. Kerahasiaan: Jaga kerahasiaan. Jangan mengungkapkan informasi tentang laporan Anda, kerentanannya, atau mengekspos bahwa telah melaporkannya ke Modalku. Jangan mengungkapkan kerentanan atau rinciannya secara publik.

  7. Eksploitasi Terbatas: Hanya mengeksploitasi kerentanan sejauh diperlukan untuk membuktikan keberadaannya; jangan mengeksploitasinya lebih jauh dari yang diperlukan.

  8. Integritas Layanan: Jangan dengan sengaja merusak atau menurunkan integritas layanan Modalku.

  9. Larangan Serangan Denial-of-Service (DOS): Jangan terlibat dalam segala bentuk serangan Denial-of-Service (DOS) terhadap layanan Modalku.

  10. Menghormati Privasi: Jangan melanggar privasi pengguna lain, menghancurkan data, mengganggu layanan, atau terlibat dalam aktivitas berbahaya apa pun.

Proses Pelaporan:

Jika Anda yakin telah menemukan kerentanan celah keamanan, harap kirimkan laporan dengan mengirimkan email ke bugbounty@modalku.co.id dengan informasi berikut: penjelasan rinci tentang kerentanan, termasuk langkah-langkah untuk mereproduksinya, tangkapan layar terkait, video, atau bukti dari konsep yang dilakukan, dan informasi kontak Anda. Tim keamanan kami kemudian akan menyelidiki laporan tersebut dan memberi Anda informasi terkini tentang laporan yang Anda kirimkan. Melaporkan masalah keamanan kepada Modalku berarti Anda menyetujui syarat dan ketentuan yang diuraikan dalam Kebijakan Pengungkapan Kerentanan dan Aturan Keterlibatan.

Apresiasi:

Sebagai bentuk apresiasi kami atas laporan yang Anda lakukan dengan bertanggung jawab, kami akan memberikan apresiasi atau penghargaan melalui email. Selain itu, individu yang memberikan kontribusi besar terhadap keamanan layanan kami, seperti mengidentifikasi dan melaporkan kerentanan yang memiliki dampak akan ditampilkan di halaman Hall of Fame kami dengan persetujuan pengguna.

Kontak:

Jika Anda memiliki pertanyaan spesifik terkait ruang lingkup dan kerentanan program, Anda dapat menghubungi tim Modalku di bugbounty@modalku.co.id

Hall of Fame:

Tahun 2024

  • Parth Narula - https://www.linkedin.com/in/parth-narula-86283821a

  • Ulil Arham - https://www.linkedin.com/in/ulil-arham-0480bb27a

Di luar ruang lingkup:

  • Subdomain takeover tanpa bukti yang bisa diverifikasi.

  • Account harvesting (e.g. enumerasi username pada WordPress).

  • Mendapatkan akses terhadap key dan informasi kredensial tanpa bisa digunakan.

  • Lack of rate-limiting pada API endpoints, kecuali tidak ada limitasi terhadap token/pin dengan digit yang memungkinkan di lakukan teknik brute-forcing (contoh. 4 digit passcode tanpa validasi terhadap pembatasan jumlah request).

  • Celah keamanan yang ditemukan di perangkat seluler yang telah di root.

  • Enumerasi UUID.

  • Celah SSL Pinning.

  • Enumerasi pada Invite/Promo code.

  • Open redirects. 99% dari celah open redirection memiliki dampak keamanan yang ringan. Tetapi kita juga masih mempertimbangkan beberapa kasus langka dimana memiliki dampak keamanan yang berat, seperti contohnya pencurian token oauths.

  • Melaporkan versi perangkat lunak yang sudah kadaluarsa atau memiliki celah tanpa bukti atau dampak yang nyata.

  • Melaporkan celah yang hanya berdampak pada versi user-agent atau aplikasi yang kadaluarsa – Kita hanya mempertimbangkan eksploitasi yang dilakukan menggunakan versi web browser yang terbaru pada Safari, FireFox, Chrome, Edge, IE dan versi aplikasi kita yang ada di Google Playstore atau AppStore.

  • Stack traces, path disclosure, dan directory listings.

  • CSV injection.

  • Celah-celah tanpa ada dampak langsung.

  • Laporan yang hanya berisi spekulasi tentang teori kerusakan – Kita menyarankan untuk selalu memberikan bukti disetiap laporan yang di kirimkan.

  • Celah keamanan yang tidak bisa di eksploitasi oleh user lain atau Team Modalku – contohnya. Self-XSS (biasanya dapat dilakukan dengan menyematkan JavaScript pada konsul browser).

  • Celah keamanan yang berada pada lingkungan sandbox atau staging.

  • Celah keamanan yang dilaporkan oleh aplikasi otomatis tanpa ada tambahan analisis seperti bagaimana celah keamanan itu dapat ditemukan.

  • Laporan celah keamanan yang didapat dari aplikasi pemindai otomatis untuk web aplikasi (Acunetix, Vega, dan lain-lain) tanpa validasi manual.

  • Distributed denial of service attacks (DDOS) atau aktivitas yang bisa menyebabkan gangguan pada layanan.

  • Celah keamanan Content injection.

  • Cross-site Request Forgery (CSRF) dengan minimal dampak keamanan (Logout CSRF, dan lain-lain.)

  • Missing cookie flags pada non-authentication cookies.

  • Email Spoofing.

  • Missing HTTP security headers.

  • Lack of HTTPOnly dan Secure cookie flags.

  • Celah keamanan yang membutuhkan akses terhadap perangkat fisik atau komputer korban.

  • Laporan pemindaian SSL/TLS (hasil yang didapat dari aplikasi daring seperti SSL Labs).

  • Celah Banner grabbing (Seperti mendapatkan versi dari web server yang kita gunakan).

  • Celah port yang terbuka tanpa bisa menjelaskan bagaimana celah keamanan yang dimaksud dan memberikan dampak dari celah keamanan tersebut.

  • Broken Link Hijacking.

  • Memasuki kantor Modalku, melempar keripik ke mana-mana, melepaskan sekelompok rakun lapar, dan membajak terminal yang ditinggalkan di tempat kerja yang tidak terkunci sementara perhatian staf terganggu (social engineering).

Indonesia

Pemberi Dana
layanan@modalku.co.id
+62 877 7126 5290

Penerima Dana
info@modalku.co.id
+62 877 7873 6144

Unifam Tower, Jl. Panjang Raya
Blok A3 No.1, Kedoya Utara,
Kebon Jeruk, Jakarta Barat,
DKI Jakarta, 11520, Indonesia

Singapore

info@fundingsocieties.com
General Enquiries:
+65 6221 0958

Sales Enquiries:
+65 6011 7534

112 Robinson Road
Level 8
Singapore 068902

Malaysia

info@fundingsocieties.com.my
Primary contact
+603 9212 0208

Secondary contact
+603 2202 1013

Unit 15.01 & Unit 15.02,
Level 15, Mercu 3,
KL Eco City, Jalan Bangsar,
59200 Kuala Lumpur

Thailand

SME Loan
info@fundingsocieties.co.th
+66 93 139 9721

Investment
invest@fundingsocieties.co.th
+66 62 197 8661

No. 188, Spring Tower,
10th Floor, Phayathai Road,
Thung Phaya Thai Sub-district,
Ratchathewi District,
Bangkok, 10400

Vietnam

info@fundingsocieties.vn
(+84) 28 7109 7896

The Sentry P
16 Nguyen Dang Giai Street,
Thao Dien Ward, Thu Duc City,
Ho Chi Minh City, Vietnam

Dreamplex
174 Thai Ha Street,
Trung Liet Ward, Dong Da District,
Hanoi, Vietnam

lockSSL Secure Site

PERHATIAN:

  1. Layanan Pendanaan Bersama Berbasis Teknologi Informasi merupakan kesepakatan perdata antara Pemberi Dana dengan Penerima Dana, sehingga segala risiko yang timbul dari kesepakatan tersebut ditanggung sepenuhnya oleh masing-masing pihak.

  2. Resiko Kredit atau Gagal Bayar dan seluruh kerugian dari atau terkait dengan kesepakatan pendanaan bersama ditanggung sepenuhnya oleh Pemberi Dana. Tidak ada lembaga atau otoritas negara yang bertanggung jawab atas resiko gagal bayar dan kerugian tersebut.

  3. Penyelenggara dengan persetujuan dari masing-masing Pengguna (Pemberi Dana dan/atau Penerima Dana) mengakses, memperoleh, menyimpan, mengelola dan/atau menggunakan data pribadi Pengguna ('Pemanfaatan Data') pada atau di dalam benda, perangkat elektronik (termasuk smartphone atau telepon seluler), perangkat keras (hardware) maupun lunak (software), dokumen elektronik, aplikasi atau sistem elektronik milik Pengguna atau yang dikuasai Pengguna, dengan memberitahukan tujuan, batasan dan mekanisme Pemanfaatan Data tersebut kepada Pengguna yang bersangkutan sebelum memperoleh persetujuan yang dimaksud.

  4. Pemberi Dana yang belum memiliki pengetahuan dan pengalaman pendanaan bersama, disarankan untuk tidak menggunakan layanan ini.

  5. Penerima Dana harus mempertimbangkan tingkat bunga kredit usaha dan biaya lainnya sesuai dengan kemampuan dalam melunasi kredit usaha.

  6. Setiap kecurangan tercatat secara digital di dunia maya dan dapat diketahui masyarakat luas di media sosial.

  7. Pengguna harus membaca dan memahami informasi ini sebelum membuat keputusan menjadi Pemberi Dana atau Penerima Dana

  8. Pemerintah yaitu dalam hal ini Otoritas Jasa Keuangan,tidak bertanggung jawab atas setiap pelanggaran atau ketidakpatuhan oleh Pengguna,baik Pemberi Dana maupun Penerima Dana (baik karena kesengajaan atau kelalaian Pengguna) terhadap ketentuan peraturan perundang-undangan maupun kesepakatan atau perikatan antara Penyelenggara dengan Pemberi Dana dan/atau Penerima Dana.

  9. Setiap transaksi dan kegiatan pendanaan bersama atau pelaksanaan kesepakatan mengenai pendanaan bersama antara atau yang melibatkan Penyelenggara, Pemberi Dana dan/atau Penerima Dana wajib dilakukan melalui escrow account dan virtual account sebagai mana yang diwajibkan berdasarkan Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi dan pelanggaran atau ketidakpatuhan terhadap ketentuan tersebut merupakan bukti telah terjadinya pelanggaran hukum oleh Penyelenggara sehingga Penyelenggara wajib menanggung ganti rugi yang diderita oleh masing-masing Pengguna sebagai akibat langsung dari pelanggaran hukum tersebut diatas tanpa mengurangi hak Pengguna yang menderita kerugian menurut Kitab Undang-Undang Hukum Perdata


PT Mitrausaha Indonesia Grup ("Modalku") telah berizin di Otoritas Jasa Keuangan ("OJK") sebagai Perusahaan Penyelenggara Layanan Pendanaan Bersama Berbasis Teknologi Informasi dengan Surat Tanda Berizin KEP-81/D.05/2019 pada tanggal 30 September 2019 sehingga pelaksanaan kegiatan usahanya diawasi secara ketat oleh OJK berdasarkan Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi.