Die AWARE7 schätzt die Aufdeckung von Sicherheitslücken sehr, die von gut gemeinten, ethischen Sicherheitsforschern durchgeführt wird. Wir sind bestrebt, Sicherheitsprobleme in unserer Plattform und unseren Diensten in Zusammenarbeit mit der Community gründlich zu untersuchen und zu lösen. Dieses Dokument zielt darauf ab, eine Methode zu definieren, mit der die AWARE7 mit der Community zusammenarbeiten kann, um die Sicherheit zu verbessern.
Umfang
Diese Security Disclosure Policy (SDP) gilt nur für Schwachstellen in Produkten und Dienstleistungen der AWARE7 unter den folgenden Bedingungen:
Nur Schwachstellen, die ursprünglich und zuvor nicht gemeldet wurden und nicht bereits durch interne Verfahren entdeckt wurden, sind im Umfang der SDP enthalten.
Nur Domänen, die eine security.txt-Datei in ihrem Root haben, sind in den Anwendungsbereich einbezogen. Subdomänen werden im Umfang berücksichtigt, sofern ihre übergeordnete Domäne im Umfang ist. (d.h. die Existenz von: https://riskrex.com/.well-known/security.txt bedeutet, dass auch app.riskrex.com und www.riskrex.com in den Geltungsbereich fallen).
Die folgenden Sicherheitsprobleme sind derzeit nicht im Anwendungsbereich (bitte melden Sie sie nicht):
- Volumetrische Schwachstellen (d.h. einfach nur unseren Service mit einem hohen Anfragevolumen zu überfordern).
- TLS-Konfigurationsschwächen (z.B. “schwache” Ciphersuite-Unterstützung, TLS1.0-Unterstützung, sweet32 usw.)
- Berichte über nicht ausnutzbare Schwachstellen
- Berichte, die darauf hinweisen, dass unsere Dienstleistungen nicht vollständig mit “Best Practice” übereinstimmen, z.B. fehlende Sicherheitskopfzeilen (CSP, x-frame-options, x-prevent-xss usw.) oder suboptimale E-Mail-bezogene Konfiguration (SPF, DMARC usw.)
- Social Engineering Angriffe wie beispielsweise Phishing, Vishing, Smishing oder Impersonation
Kopfgeld für Sicherheitslücken
Leider ist es uns aufgrund unterschiedlicher interner Faktoren derzeit nicht möglich, ein bezahltes Bug-Bounty-Programm anzubieten. Wir möchten jedoch Sicherheitsforschern, die sich die Zeit und Mühe nehmen, um Sicherheitslücken zu untersuchen und uns gemäß dieser Richtlinie zu melden, ein Zeichen unserer Wertschätzung geben. Reporter von qualifizierten Schwachstellen werden mit einer einzigartigen AWARE7 Belohnung belohnt.
Meldung einer Schwachstelle
Wenn Sie ein Problem entdeckt haben, von dem Sie glauben, dass es sich um eine Sicherheitslücke innerhalb des Umfangs handelt (siehe Abschnitt 2 oben für weitere Details zum Umfang), senden Sie bitte eine E-Mail mit folgenden Angaben an security@aware7.de:
Die Website oder Seite, auf der die Sicherheitslücke besteht.
Eine kurze Beschreibung der Klasse (z.B. “XSS-Schwachstelle”) der Schwachstelle. Bitte vermeiden Sie zu diesem Zeitpunkt jegliche Details, die eine Reproduktion des Problems ermöglichen würden. Details werden später über verschlüsselte Kommunikation angefordert.
In Übereinstimmung mit der Branchenkonvention bitten wir die Reporter, einen gutartigen (d.h. zerstörungsfreien) Nachweis der Ausnutzung zu erbringen, wo immer dies möglich ist.
Dies trägt dazu bei, dass der Bericht schnell und genau überprüft werden kann, während gleichzeitig die Wahrscheinlichkeit von Doppelmeldungen und/oder böswilliger Ausnutzung für einige Schwachstellenklassen (z.B. Übernahme von Subdomänen) reduziert wird. Bitte stellen Sie sicher, dass Sie den Beweis für die Ausnutzung nicht in der ersten, reinen Text-E-Mail senden, wenn die Schwachstelle noch ausnutzbar ist. Bitte stellen Sie auch sicher, dass alle Beweise für Exploits mit unseren Richtlinien (unten) übereinstimmen. Wenn Sie im Zweifel sind, senden Sie bitte eine E-Mail an security@aware7.de. Bitte lesen Sie dieses Dokument vor dem Melden von Schwachstellen vollständig durch, um sicherzustellen, dass Sie die Richtlinie verstehen und in Übereinstimmung mit ihr handeln können.
Erwartung
Als Antwort auf Ihre erste E-Mail an security@aware7.de erhalten Sie eine Bestätigungs-Antwort-E-Mail vom AWARE7-Sicherheitsteam, in der Regel innerhalb von 24 Stunden nach Eingang Ihres Berichts. Nach der ersten Kontaktaufnahme wird unser Sicherheitsteam die gemeldete Schwachstelle auswerten und Ihnen so schnell wie möglich antworten, um zu bestätigen, ob weitere Informationen erforderlich sind und/oder ob die Schwachstelle in den oben genannten Bereich fällt oder ob es sich um eine doppelte Meldung handelt. Ab diesem Zeitpunkt werden die notwendigen Abhilfemaßnahmen den entsprechenden AWARE7-Teams und/oder Lieferanten zugewiesen.
Die Priorität für Bugfixes und/oder -minderungen wird auf der Grundlage der Schwere der Auswirkungen und der Komplexität der Ausnutzung zugewiesen. Schwachstellenberichte können einige Zeit zur Sichtung und/oder Behebung benötigen, Sie können sich gerne über den Status des Prozesses erkundigen, aber bitte beschränken Sie dies nicht mehr als einmal alle 14 Tage durchzuführen. Dies hilft unserem Sicherheitsteam, sich so weit wie möglich auf die Berichte zu konzentrieren. Unser Sicherheitsteam wird Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist (oder die Behebungsarbeiten geplant sind) und wird Sie bitten, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt. Wir bieten Ihnen die Möglichkeit, uns ein Feedback über den Prozess und die Schwachstellenlösung zu geben. Diese Informationen werden vertraulich verwendet, um uns dabei zu helfen, die Art und Weise zu verbessern, in der wir mit Berichten umgehen und/oder Dienstleistungen entwickeln und Schwachstellen beheben.
Anleitung
Sicherheitsforscher dürfen nicht:
- auf unnötige Datenmengen zugreifen. Beispielsweise reichen 2 oder 3 Datensätze aus, um die meisten Schwachstellen nachzuweisen (z. B. eine Aufzählung oder eine Schwachstelle mit direktem Objektbezug);
- die Privatsphäre von AWARE7-Benutzern, Mitarbeitern, Auftragnehmern, Systemen usw. verletzen. Zum Beispiel durch die gemeinsame Nutzung, Weiterverteilung und/oder nicht ordnungsgemäße Sicherung von Daten, die von unseren Systemen oder Diensten abgerufen werden;
- Kommunikation von Schwachstellen oder damit verbundenen Details über Methoden, die nicht in dieser Richtlinie beschrieben sind, oder mit anderen Personen als Ihrem speziellen BBC-Sicherheitskontakt;
- Änderung von Daten in unseren Systemen/Diensten, die nicht Ihre eigenen sind;
- unsere Dienste und/oder Systeme zu unterbrechen; oder
- Offenlegung von Schwachstellen in AWARE7-Systemen/Diensten gegenüber Dritten/der Öffentlichkeit, bevor die AWARE7 bestätigt, dass diese Schwachstellen mitigiert oder behoben wurden. Dies verhindert nicht, dass eine Schwachstelle an Dritte, für die die Schwachstelle direkt relevant ist, gemeldet wird, z.B. wenn die gemeldete Schwachstelle in einer Softwarebibliothek oder einem Framework liegt – aber die Einzelheiten der spezifischen Schwachstelle der AWARE7 dürfen in solchen Meldungen nicht genannt werden. Wenn Sie sich über den Status einer dritten Partei, an die Sie eine Benachrichtigung senden möchten, unsicher sind, senden Sie bitte eine E-Mail an security@aware7.de um die Angelegenheit zu klären.
Wir bitten darum, dass alle Daten, die während der Recherche abgerufen werden, sicher gelöscht werden, sobald sie nicht mehr benötigt werden und spätestens 1 Monat nach Behebung der Schwachstelle, je nachdem, was am frühesten eintritt. Wenn Sie sich zu irgendeinem Zeitpunkt nicht sicher sind, ob die von Ihnen geplanten Maßnahmen akzeptabel sind, wenden Sie sich bitte an unser Sicherheitsteam (bitte geben Sie in der ersten Mitteilung keine sensiblen Informationen an): security@aware7.de.
Rechtliche Hinweise
Diese SDP ist so konzipiert, dass sie mit der üblichen guten Praxis von Sicherheitsforschern kompatibel ist. Sie gibt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die gegen das Gesetz verstößt oder die AWARE7 gegen eine ihrer gesetzlichen Verpflichtungen verstößt. Die ist einschließlich, aber nicht beschränkt auf:
- Den Hackerparagraphen §202c StGB
- Die DSGVO
Die AWARE7 wird keine strafrechtliche Verfolgung von Sicherheitsforschern anstreben, die in gutem Glauben und in Übereinstimmung mit dieser SDP eine Sicherheitslücke in einem AWARE7 Dienst melden.
Rückmeldung
Wenn Sie Feedback oder Vorschläge zu dieser Richtlinie geben möchten, wenden Sie sich bitte an unser Sicherheitsteam: security@aware7.de. Diese Richtlinie wird sich im Laufe der Zeit weiterentwickeln, und Ihr Beitrag wird geschätzt, um sicherzustellen, dass sie klar und vollständig ist und relevant bleibt.