Responsible Disclosure Statement
Bei iWink hat die Sicherheit unserer Systeme höchste Priorität. Aber egal, wie viel Mühe wir in die Sicherheit des Systems setzen, es können immer noch Schwachstellen vorliegen. Wenn Sie eine Schwachstelle entdecken, möchten wir darüber informiert werden, damit wir schnellstmöglich die notwendigen Schritte zur Behebung einleiten können. Bitte helfen Sie uns, unsere Kunden und unsere Systeme besser zu schützen.
Gehen Sie bitte folgendermaßen vor
- Übermitteln Sie Ihre Feststellungen mithilfe der folgenden URL: Zerocopter
- Nutzen Sie die von Ihnen festgestellte Sicherheitslücke oder das Problem nicht aus, zum Beispiel durch das Herunterladen von mehr Daten als nötig, um die Schwachstelle zu demonstrieren, oder durch das Löschen oder Ändern von Daten anderer Personen.
- Machen Sie andere nicht auf das Problem aufmerksam, bevor es gelöst ist.
- Greifen Sie nicht die physische Sicherheit, das Social Engineering, die verteilte Dienstblockade, Spam oder Anwendungen Dritter an.
- Geben Sie uns genügend Informationen, um das Problem zu reproduzieren, so dass wir in der Lage sind, es so schnell wie möglich zu beheben.
In der Regel ist es ausreichend, die IP-Adresse oder der URL des betroffenen Systems und eine Beschreibung der Schwachstelle zu nennen, aber bei komplexen Sicherheitslücken können weitere Informationen benötigt werden.
Was wir versprechen
- Wir beantworten Ihren Bericht innerhalb von 5 Werktagen mit unserer Einschätzung.
- Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf den Bericht einleiten.
- Wir werden Ihre persönlichen Daten nicht ohne Ihre Erlaubnis an Dritte weitergeben.
- Wir halten Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden.
- In den öffentlichen Informationen über das berichtete Problem werden wir Ihren Namen als Entdecker des Problems angeben (sofern Sie es nicht anders wünschen).
- Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir würden gerne eine aktive Rolle in der endgültigen Veröffentlichung des Problems spielen, nachdem es behoben ist. Diese verantwortungsvolle Offenlegungsrichtlinie basiert auf einem Beispiel, verfasst von Floor Terra.
-
Ausschlüsse
Natürlich nehmen wir kritische und mittlere Sicherheitsberichte immer ernst. Einige Sicherheitsbenachrichtigungen haben jedoch eine besonders geringe Auswirkung und werden nicht verarbeitet. Zum Beispiel, weil die Umsetzung einer Sicherheitsverbesserung die Benutzerfreundlichkeit unserer Produkte zu sehr behindert. Oder weil einige Verbesserungen in naher Zukunft in großem Umfang gelöst werden.
Einige Beispiele für Dinge, die nicht gemeldet werden müssen:
- Generische Fehlermeldungen (außer wenn kritische Informationen veröffentlicht werden)
- Öffentliche Dateien, z. B. robots.txt
- CSRF-Themen, bei denen es keine direkten Konsequenzen für die Endbenutzer gibt. (Zum Beispiel für Kontaktformulare)
- SPF-Probleme von Domänen, die nicht verwendet werden
- Fehlende DNSSEC-Datensätze
- Fehlende CAA-Datensätze
- Alte Versionen von clientseitigen Javascript-Bibliotheken (Es sei denn, wichtige Sicherheitsprobleme werden gelöst)
- Fehlende includeSubDomains oder Vorladen in HSTS
- Fehlende CSP-Datensätze
- E-Mail-Spoofing, bei dem E-Mails als Spam markiert werden