Richtlinie zur Offenlegung von Sicherheitslücken

Letzte Aktualisierung: 21.03.2024

Einführung

Saporo setzt sich dafür ein, die Sicherheit der amerikanischen Öffentlichkeit zu gewährleisten, indem ihre Informationen geschützt werden. Diese Richtlinie soll Sicherheitsforschern klare Richtlinien für die Durchführung von Aktivitäten zur Entdeckung von Sicherheitslücken an die Hand geben und unsere Präferenzen bei der Übermittlung entdeckter Sicherheitslücken an uns weitergeben.

Diese Richtlinie beschreibt welche Systeme und Arten der Forschung fallen unter diese Richtlinie, wie kann man uns schicken Berichte über Sicherheitslücken und wie lang Wir bitten Sicherheitsforscher, mit der Veröffentlichung von Sicherheitslücken abzuwarten.

Wir empfehlen Ihnen, uns zu kontaktieren, um potenzielle Sicherheitslücken in unseren Systemen zu melden.

Autorisierung

Wenn Sie sich bei Ihren Sicherheitsuntersuchungen nach Treu und Glauben bemühen, diese Richtlinie einzuhalten, betrachten wir Ihre Recherchen als autorisiert. Wir werden mit Ihnen zusammenarbeiten, um das Problem schnell zu verstehen und zu lösen, und Saporo wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche empfehlen oder einleiten. Sollte ein Dritter aufgrund von Aktivitäten, die gemäß dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir diese Genehmigung bekannt geben.

Richtlinien

Im Rahmen dieser Richtlinie bedeutet „Forschung“ Aktivitäten, bei denen Sie:

  • Informieren Sie uns so schnell wie möglich, nachdem Sie ein echtes oder potenzielles Sicherheitsproblem entdeckt haben.
  • Ergreifen Sie alle Anstrengungen, um Datenschutzverletzungen, eine Verschlechterung der Benutzererfahrung, Störungen der Produktionssysteme und die Zerstörung oder Manipulation von Daten zu vermeiden.
  • Verwenden Sie Exploits nur in dem Umfang, der erforderlich ist, um das Vorhandensein einer Sicherheitslücke zu bestätigen. Verwenden Sie keinen Exploit, um Daten zu kompromittieren oder zu exfiltrieren, dauerhaften Befehlszeilenzugriff einzurichten oder den Exploit zu verwenden, um auf andere Systeme umzusteigen.
  • Geben Sie uns eine angemessene Zeit, um das Problem zu lösen, bevor Sie es öffentlich bekannt geben.
  • Reichen Sie nicht zu viele Berichte von geringer Qualität ein.

Sobald Sie festgestellt haben, dass eine Sicherheitslücke besteht, oder auf sensible Daten stoßen (einschließlich personenbezogener Daten, Finanzinformationen oder firmeneigener Informationen oder Geschäftsgeheimnisse einer Partei), Sie müssen Ihren Test beenden, uns sofort benachrichtigen und dürfen diese Daten nicht an Dritte weitergeben.

Testmethoden

Die folgenden Testmethoden sind nicht zugelassen:

  • Netzwerk-Denial-of-Service- (DoS- oder DDoS-Tests) oder andere Tests, die den Zugriff auf ein System oder Daten beeinträchtigen oder diese beschädigen
  • Physikalische Tests (z. B. Bürozugang, offene Türen, Tailgating), Social Engineering (z. B. Phishing, Vishing) oder andere nichttechnische Schwachstellentests

Geltungsbereich

Diese Richtlinie gilt für die folgenden Systeme und Dienste:

  • Alle Saporo-Websites
  • Alle Saporo-Anwendungen

Alle Dienste, die oben nicht ausdrücklich aufgeführt sind, wie z. B. alle damit verbundenen Dienste, sind vom Geltungsbereich ausgeschlossen und sind nicht zum Testen zugelassen. Darüber hinaus fallen Sicherheitslücken, die in Systemen unserer Anbieter gefunden wurden, nicht in den Geltungsbereich dieser Richtlinie und sollten gemäß deren Offenlegungsrichtlinien (falls vorhanden) direkt an den Anbieter gemeldet werden. Wenn Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt oder nicht, kontaktieren Sie uns unter security@saporo.io, bevor Sie mit Ihrer Recherche beginnen.

Obwohl wir andere über das Internet zugängliche Systeme oder Dienste entwickeln und warten, bitten wir darum aktives Forschen und Testen darf nur auf den Systemen und Diensten durchgeführt werden, die in den Geltungsbereich dieses Dokuments fallen. Wenn es ein bestimmtes System gibt, das nicht in den Geltungsbereich fällt und Ihrer Meinung nach einen Test wert ist, kontaktieren Sie uns bitte, um es zuerst zu besprechen. Wir werden den Geltungsbereich dieser Richtlinie im Laufe der Zeit erweitern.

Eine Sicherheitslücke melden

Wir akzeptieren Berichte über Sicherheitslücken über das Formular unten auf dieser Seite oder über security@saporo.io. Berichte können anonym eingereicht werden. Wenn Sie Kontaktinformationen weitergeben, bestätigen wir den Eingang Ihrer Meldung innerhalb von 3 Werktagen.

Wir unterstützen keine PGP-verschlüsselten E-Mails. Wenn Sie besonders vertrauliche Informationen benötigen, senden Sie uns diese über unser HTTPS-Webformular.

Was wir gerne von dir sehen würden

Um uns bei der Sortierung und Priorisierung von Einsendungen zu helfen, empfehlen wir, dass Ihre Berichte:

  • Beschreiben Sie den Ort, an dem die Sicherheitslücke entdeckt wurde, und die möglichen Auswirkungen der Ausnutzung.
  • Bieten Sie eine detaillierte Beschreibung der Schritte an, die zur Reproduktion der Sicherheitsanfälligkeit erforderlich sind (Proof-of-Concept-Skripte oder Screenshots sind hilfreich).
  • Sei auf Englisch, wenn möglich.

Was du von uns erwarten kannst

Wenn Sie sich dafür entscheiden, Ihre Kontaktinformationen mit uns zu teilen, verpflichten wir uns, uns so offen und so schnell wie möglich mit Ihnen abzustimmen.

  • Innerhalb von 3 Werktagen werden wir bestätigen, dass Ihr Bericht eingegangen ist.
  • Nach besten Kräften werden wir Ihnen das Vorhandensein der Sicherheitslücke bestätigen und so transparent wie möglich darlegen, welche Schritte wir während des Behebungsprozesses ergreifen, auch in Bezug auf Probleme oder Herausforderungen, die die Lösung verzögern könnten.
  • Wir werden einen offenen Dialog führen, um Themen zu erörtern.
  • Wir werden die Sicherheitslücke und, wenn Sie dies wünschen, Ihren Namen in unserer „Hall of Fame“ veröffentlichen

Fragen

Fragen zu dieser Richtlinie können an security@saporo.io gesendet werden. Wir laden Sie auch ein, uns mit Vorschlägen zur Verbesserung dieser Richtlinie zu kontaktieren.

Formular zur Offenlegung von Sicherheitslücken

Max. Dateigröße 10 MB.
Wird hochgeladen...
fileuploaded.jpg
Upload failed. Max size for files is 10 MB.
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.