Pravila prijave ranjivosti

Svrha i područje primjene

Svrha ove politike

AceBIT GmbH pozdravlja prijave ranjivosti u Password Depot i povezanim web-uslugama vezanima uz proizvod za koje je odgovoran AceBIT. Ova politika opisuje kako sigurnosni istraživači mogu prijaviti potencijalne ranjivosti, koja pravila vrijede za sigurnosna istraživanja i koje obveze AceBIT preuzima u okviru koordiniranog otkrivanja ranjivosti.

Prijave se mogu podnijeti na njemačkom ili engleskom jeziku.

Područje primjene

Password Depot Enterprise Server
Password Depot Windows Client
Password Depot macOS Client
Password Depot Linux Client
Ekstenzija preglednika (Chrome, Edge, Firefox)
Mobilne aplikacije (iOS, Android)
Web-usluge vezane uz proizvod na password-depot.de

Uključujući komponente trećih strana, ako su sastavni dio navedenih proizvoda.

Nije obuhvaćeno

Produktivna korisnička okruženja, korisnički specifične instalacije i drugi sustavi trećih strana
Usluge ili infrastrukture kojima upravljaju treće strane, a koje nisu sastavni dio Password Depot
Social Engineering, phishing, fizički napadi, spam, brute force, credential stuffing, masovna skeniranja ili testovi uskraćivanja usluge

Safe Harbor

Ako postupate u dobroj vjeri, pridržavate se ove politike, svoje testove ograničite na gore opisano područje primjene i ne pristupate podacima, ne mijenjate ih, ne brišete, ne eksfiltrirate niti ometate usluge, mi ćemo se – u mjeri dopuštenoj zakonom – suzdržati od građanskopravnih zahtjeva zbog takvog sigurnosnog istraživanja.

U mjeri u kojoj je to u našoj sferi utjecaja i zakonski dopušteno, zbog takvog sigurnosnog istraživanja također nećemo podnositi kaznenu prijavu.

To se ne odnosi na radnje izvan područja primjene, na testove protiv korisničkih ili drugih sustava trećih strana, na povrede zaštite podataka, smetnje u radu ili druge povrede primjenjivog prava.

Ova politika ne predstavlja dopuštenje za testiranje izvan ovdje opisanog područja primjene.

Smjernice

Naša očekivanja od sigurnosnih istraživača

1 Postupajte pažljivo, u dobroj vjeri i ograničite svoje testiranje na ono što je nužno kako biste jasno dokazali ranjivost.

2 Nemojte pristupati stvarnim podacima korisnika. Ako nenamjerno dobijete pristup osjetljivim podacima, odmah prekinite testiranje i bez odgode nas obavijestite.

3 Nemojte mijenjati, brisati, iznositi ili objavljivati podatke.

4 Nemojte provoditi testove koji mogu utjecati na sustave ili usluge ili narušiti njihovu dostupnost.

5 Nemojte koristiti socijalni inženjering, phishing ni fizičke napade te nemojte instalirati stražnja vrata ni mehanizme postojanosti.

6 Nemojte javno dijeliti pojedinosti prije nego što zajedno utvrdimo usklađeni termin objave.

PGP ključ

Šifrirana komunikacija

Za osjetljive tehničke pojedinosti upotrijebite javni PGP ključ sigurnosnog tima Password Depot. Prije šifriranja provjerite otisak preuzetog ključa.

Identitet Password Depot Security <security@password-depot.de> Primarni otisak (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Podključ za šifriranje (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Valjanost Primarni ključ do 2031-04-23 · Podključ za šifriranje do 2028-04-23 Preuzimanje ključa https://www.password-depot.de/.well-known/pgp-key.asc

Dodatno dostupan i putem RFC 9116 (security.txt) na /.well-known/security.txt.

Prijava

Kako prijaviti ranjivost

Pošaljite prijavu

Molimo pošaljite svoju prijavu na:

security@password-depot.de

Molimo priložite sljedeće

Pogođeni proizvod, verziju, build i komponentu
Opis ranjivosti
Koraci za reprodukciju / Proof of Concept
Procjena učinaka i razine ozbiljnosti
Testno okruženje, konfiguracija i preduvjeti
Kontaktni podaci i, prema potrebi, želja za navođenjem imena

Molimo ne šaljite nepotrebne osobne podatke ni velike skupove podataka iz produkcijskih okruženja.

Povjerljivost

Vašu prijavu i – ako to želite – vaš identitet tretiramo povjerljivo, u mjeri u kojoj je to pravno dopušteno. Vaše ime objavit ćemo samo uz vašu prethodnu suglasnost.

Vaši podaci prosljeđuju se samo ako je to potrebno za provjeru, otklanjanje i koordinirano otkrivanje ranjivosti ili za ispunjenje zakonskih obveza.

Proces

Što se događa nakon vaše prijave

Potvrda primitka 48 sati Potvrđujemo primitak vaše prijave.

Početna procjena 7 dana Obavijestit ćemo vas ocjenjujemo li prijavu kao valjanu, dupliciranu, izvan opsega ili trenutačno neprovjerljivu.

Redovita ažuriranja svakih 30 dana Obavještavat ćemo vas o statusu obrade do otklanjanja problema ili do usklađenog objavljivanja.

Objava

Koordinirana objava i Security Advisories

Čim sigurnosno ažuriranje ili druga učinkovita mjera otklanjanja bude dostupna, za potvrđene ranjivosti u pravilu objavljujemo Security Advisory.

Ako bi trenutačna objava mogla ugroziti sigurnost naših korisnika, možemo je odgoditi do primjerenog trenutka.

Pogledajte Security Advisories

Security Advisory sadrži najmanje

Opis ranjivosti
Pogođene proizvode i verzije
Učinke i razinu ozbiljnosti
Jasne upute za otklanjanje ili ublažavanje

Napomena o zakonskim obvezama prijave

Ako prijava upućuje na aktivno iskorištavanu ranjivost ili na ozbiljan sigurnosni incident, možemo biti zakonski obvezni dostaviti potrebne tehničke informacije nadležnim tijelima, nadležnom CSIRT-u i ENISA-i te obavijestiti pogođene korisnike.

Vaš identitet pritom otkrivamo samo u mjeri u kojoj je to zakonski potrebno.

Priznanje

Trenutačno ne nudimo novčane nagrade ni Bug-Bounty isplate, osim ako to nije izričito zasebno najavljeno.

Ako želite, nakon otklanjanja ranjivosti navest ćemo vas u Security Advisoryju ili u zahvali. Molimo navedite to prilikom svoje prijave.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Njemačka E-pošta: security@password-depot.de

Prijavite ranjivost

Koordinirana objava ranjivosti