BigID-Richtlinie zur Offenlegung von Sicherheitslücken

Einführung

BigID ist bestrebt, seinen Kunden sichere Software bereitzustellen. Das BigID Product Security Incident Response Team (PSIRT) fördert und schätzt verantwortungsvolle Meldungen von Schwachstellen, die uns helfen, die Sicherheit unserer Produkte und Systeme zu gewährleisten. Diese Vulnerability Disclosure Policy (VDP) soll Sicherheitsforscher bei der Durchführung von Aktivitäten zur Schwachstellenerkennung und der Meldung von Schwachstellen an BigID unterstützen.

Umfang

Die Richtlinie gilt für diese Domänen:

• *.bigid.com
• *.bigid.cloud
• *.bigidprivacy.cloud

Die folgenden Arten von Sicherheitslücken fallen nicht in den Geltungsbereich dieser Richtlinie:

• Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept.
• Sicherheitslücken, die nur Benutzer veralteter oder ungepatchter Browser betreffen.
• Angriffe, die zur Ausnutzung MITM erfordern.
• Probleme mit Inhaltsfälschung und Textinjektion ohne Anzeige eines Angriffsvektors/ohne Möglichkeit, HTML/CSS zu ändern.
• Theoretische Schwachstellen, die unwahrscheinliche Benutzerinteraktionen oder Umstände erfordern (Defekte-Link-Hijacking, Tabnabbing usw.).
• Schwachstellen, die keine tatsächlichen Auswirkungen auf die Sicherheit haben (Clickjacking, CSRF auf nicht sensiblen Endpunkten usw.).
• Optionale Schritte zur Sicherheitshärtung / Fehlende Best Practices (SSL/TLS-Konfigurationen, CSP-Konfigurationsmeinungen usw.).
• Schwachstellen, die möglicherweise riskante Tests erfordern. Diese Art von Tests darf nur mit ausdrücklicher schriftlicher Genehmigung von BigID durchgeführt werden (DoS-, DDoS-, Social-Engineering-Angriffe usw.).

Verfahren

BigID nimmt entsprechende Schwachstellenberichte per E-Mail an [email protected] entgegen. Bitte teilen Sie in Ihrem Bericht alle relevanten Details mit, darunter:

• Details zum CIA-Einfluss, idealerweise mit einer Bewertung auf Basis des CVSS-Rechners;
• Detaillierte Schritte zur Reproduktion der Sicherheitslücke; und
• Betroffene Assets, Domänen und/oder Software.

BigID legt Wert auf Transparenz und Zusammenarbeit während des gesamten Meldeprozesses. Wir sind bestrebt, Meldungen umgehend zu bestätigen und relevante Statusaktualisierungen so oft wie möglich mit den Meldenden zu teilen, soweit die Verfügbarkeit und die Sicherheitsverfahren des PSIRT dies zulassen.

Im Gegenzug bitten wir Sie, die Sicherheitslücke weder der Öffentlichkeit noch Dritten offenzulegen, bis BigID die Möglichkeit hatte, die Sicherheitslücke zu validieren, zu beheben und die betroffenen Nutzer zu benachrichtigen. Danach bitten wir Sie, sich mit BigID über Zeitpunkt und Inhalt der Offenlegung abzustimmen. Wir bitten Sie außerdem, alle Anstrengungen zu unternehmen, um Datenschutzverletzungen, Beeinträchtigungen des Benutzererlebnisses, Störungen der Produktionssysteme sowie die Zerstörung oder Manipulation von Daten während des gesamten Prozesses zu vermeiden.

BigID leistet keine Vergütung für gemeldete Schwachstellen im Rahmen dieser Richtlinie. Eine Vergütung erfolgt nur für bestimmte Meldungen, die über das private Bug-Bounty-Programm von BigID über HackerOne eingereicht werden. Weitere Informationen zum Umfang der Vermögenswerte und zur Teilnahmeberechtigung für das Bug-Bounty-Programm von BigID erhalten Sie unter [email protected].

Safe Harbor

BigID hat den Gold Standard Safe Harbor übernommen, um den Schutz von Organisationen und Hackern zu unterstützen, die in gutem Glauben Sicherheitsforschung betreiben. „Sicherheitsforschung in gutem Glauben“ bedeutet, auf einen Computer ausschließlich zum Zweck der ernsthaften Prüfung, Untersuchung und/oder Behebung von Sicherheitslücken oder -schwachstellen zuzugreifen, wobei diese Aktivität so durchgeführt wird, dass Schäden für Einzelpersonen oder die Öffentlichkeit vermieden werden, und wobei die aus der Aktivität gewonnenen Informationen in erster Linie dazu dienen, die Sicherheit der Geräte, Maschinen oder Onlinedienste, zu denen der Computer gehört, oder der Benutzer dieser Geräte, Maschinen oder Onlinedienste zu fördern.

Wir betrachten Sicherheitsforschung nach Treu und Glauben als autorisierte Tätigkeit, die wir vor kontradiktorischen Klagen schützen. Wir verzichten auf jegliche relevante Einschränkung in unseren Nutzungsbedingungen, die im Widerspruch zu den hier beschriebenen Standards für Sicherheitsforschung nach Treu und Glauben steht.

Dies bedeutet, dass wir im Rahmen der Good Faith Security Research, die in gutem Glauben durchgeführt wird, um unsere Programmrichtlinien einzuhalten, und während dieses Programm aktiv ist, Folgendes tun:

• Wir werden keine rechtlichen Schritte gegen Sie einleiten oder Sie melden, auch nicht wegen der Umgehung technischer Maßnahmen, die wir zum Schutz der betroffenen Anwendungen verwenden; und
• Wir werden Schritte unternehmen, um bekannt zu machen, dass Sie in gutem Glauben Sicherheitsforschung betrieben haben, falls jemand anderes rechtliche Schritte gegen Sie einleitet.

Sie sollten uns zur Klärung über [email protected] kontaktieren, bevor Sie ein Verhalten an den Tag legen, das Ihrer Ansicht nach nicht mit Good Faith Security Research vereinbar ist oder nicht in unseren Richtlinien behandelt wird.

Bitte beachten Sie, dass wir keine Sicherheitsforschung auf der Infrastruktur Dritter genehmigen können und Dritte nicht an diese Safe-Harbor-Erklärung gebunden sind.