Offenlegung von Schwachstellen

Bedingungen

Offenlegung von Schwachstellen
Letztes Aktualisierungsdatum:
28. Juni 2024

Einführung

Diese Richtlinie zur Offenlegung von Schwachstellen (die „Richtlinie”) gilt für alle Schwachstellen, die Sie Arctic Wolf (die „Organisation”) melden möchten, solange die betreffende Domain in der unten stehenden Liste aufgeführt ist. Diese Richtlinie enthält durch Verweis die in den Nutzungsbedingungen und dem Datenschutzhinweis von Arctic Wolf enthaltenen Bestimmungen und Bedingungen. Indem Sie sich in irgendeiner Weise an der Suche nach Schwachstellen beteiligen, akzeptieren Sie die Bedingungen dieser Richtlinie. Wenn Sie damit nicht einverstanden sind, können Sie nicht teilnehmen.

Bevor Sie versuchen, Sicherheitslücken zu finden oder uns eine Schwachstelle zu melden, lesen Sie bitte diese Richtlinie vollständig und befolgen Sie sie stets.

Die Organisation behält sich das Recht vor, die Bestimmungen dieser Richtlinie jederzeit zu ändern oder zu beenden. Bitte überprüfen Sie diese Richtlinie regelmäßig, da wir die Bedingungen unseres Programms und unsere Eignungskriterien laufend aktualisieren, und diese mit ihrer Veröffentlichung wirksam werden. Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitsschwachstellen gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine Belohnungen für die Offenlegung von Schwachstellen an.

Melden von Vorfällen

Wenn Sie glauben, eine sicherheitsbezogene Schwachstelle im System der Organisation gefunden zu haben, senden Sie bitte einen Schwachstellenbericht an die Adresse im Feld KONTAKT der veröffentlichten Datei security.txt. Kontaktieren Sie Arctic Wolf nicht über Kanäle, die nicht in unserer security.txt Datei enthalten sind.

Mitarbeiter von Arctic Wolf, Auftragnehmer von Arctic Wolf oder Lieferanten von Arctic Wolf oder Personen, die mit Mitarbeitern, Auftragnehmern oder Lieferanten von Arctic Wolf verwandt oder anderweitig verbunden sind, dürfen nicht an diesem Programm teilnehmen.

Anmerkung: Arctic Wolf behält sich das Recht vor, Versuche zu blockieren, die gegen die Regeln dieses Programms verstoßen. So kann beispielsweise ein übermäßiger Scan-Verkehr zu einer automatischen Sperrung führen.

Geben Sie in Ihrem Bericht bitte Einzelheiten an:

  • Die Website, IP oder Seite, auf der die Schwachstelle beobachtet werden kann;
  • Eine kurze Beschreibung der Art der Schwachstelle, z. B. „Schwachstelle bezüglich XSS”;
  • Bitte machen Sie nur so viele Angaben, dass wir Ihre Ergebnisse nachvollziehen können. Legen Sie Beispiele und funktionierende Proof of Concepts vor. Diese sollten gutartig und nicht zerstörerisch sein. Dieses Vorgehen hilft uns, eine schnelle und akkurate Triage der Berichte zu ermöglichen. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder die böswillige Ausnutzung bestimmter Schwachstellen, wie z. B. die Übernahme von Subdomains.

Nachdem Sie Ihre Meldung eingereicht haben, bemühen wir uns, so schnell wie möglich auf Ihre Meldung zu reagieren. Wir priorisieren die Korrekturmaßnahmen nach Auswirkung, Schweregrad und Komplexität der Schwachstelle. Die Sichtung und Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen. Wir bitten Sie lediglich darum, uns eine angemessene Zeitspanne (mindestens 90 Tage ab der ersten Meldung) einzuräumen, um auf das Problem zu reagieren. So können sich unsere Teams auf die Behebung der Probleme konzentrieren. Sobald die gemeldete Schwachstelle behoben ist, informieren wir Sie. Möglicherweise bitten wir Sie auch, zu bestätigen, dass die umgesetzte Lösung die Schwachstelle ausreichend korrigiert.

Vertraulichkeit

Sie verpflichten sich, alle Einsendungen vertraulich zu behandeln und keine Einsendungen oder Teile davon (einschließlich, aber nicht beschränkt auf Schwachstellen oder Feedback) an Dritte weiterzugeben. Bitte versuchen Sie nicht, auf Dateien, personenbezogene Informationen oder andere Daten der Organisation (oder ihrer Mitarbeiter, Kunden, Klienten, Auftragnehmer oder Dienstleister) zuzugreifen. Die Organisation ist nicht verpflichtet, eine Einsendung vertraulich zu behandeln.

Anleitungen

Sie dürfen NICHT:

  • gegen geltende Gesetze oder Vorschriften verstoßen.
  • unnötigerweise oder übertrieben häufig auf Daten oder auf erhebliche Datenmengen zugreifen. Stellen Sie einen einfachen Proof-of-Concept mit einem möglichst geringen Maß an Datenexfiltration bereit.
  • die Verfügbarkeit, Integrität oder Vertraulichkeit sensibler, personenbezogener oder nicht-öffentlicher Informationen oder Daten beeinträchtigen.
  • hochintensive, invasive oder zerstörerische Scan-Tools nutzen, um Schwachstellen zu finden.
  • Berichte übermitteln, die nicht ausnutzbare Schwachstellen betreffen, oder darauf hinweisen, dass die Dienste nicht vollständig den „bewährten Praktiken” entsprechen (z. B. fehlende Sicherheits-Header).
  • Schwachstellen oder damit zusammenhängende Details auf andere Art und Weise kommunizieren als in der veröffentlichten Datei security.txt beschrieben.
  • „Social Engineering” oder „Phishing” betreiben oder physische Angriffe auf das Personal oder die Infrastruktur der Organisation ausüben.
  • Roboter, „Spiders” oder andere automatische Geräte, Programme, Skripte, Algorithmen oder Methoden oder ähnliche oder gleichwertige manuelle Verfahren nutzen, um auf Schwachstellen zuzugreifen, sie sich zu eigen zu machen oder sie zu kopieren.
  • Beiträge zu Fällen einreichen, die im Abschnitt „Schwachstellen außerhalb des Geltungsbereichs/Bewährte Praktiken” aufgelistet sind.
  • eine finanzielle Entschädigung für die Offenlegung von Schwachstellen verlangen.
  • Schwachstellen oder den Inhalt eingereichter Berichte mit Dritten (einschließlich Medien oder Veröffentlichungsdiensten) teilen, ohne vorher eine explizit für den Fall geltende schriftliche Zustimmung der Organisation erhalten zu haben.

Sie müssen:

  • sich nach bestem Wissen und Gewissen bemühen, Verletzungen des Datenschutzes, die Zerstörung von Daten und die Unterbrechung oder Beeinträchtigung unseres Dienstes zu vermeiden. Interagieren Sie nur mit Konten, die Ihnen gehören oder für die Sie die ausdrückliche Genehmigung des Kontoinhabers erhalten haben.
  • sich stets an die Datenschutzbestimmungen halten und die Privatsphäre bezüglich aller Daten respektieren, über die die Organisation verfügt.
  • alle heruntergeladenen Daten und Details zu Schwachstellen vor Offenlegung schützen, sofern es diese Richtlinie nicht anders vorsieht.
  • alle im Rahmen Ihrer Nachforschungen errungenen Daten unwiderruflich löschen – entweder, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es die Datenschutzgesetze und -vorschriften vorschreiben).
  • detaillierte Reproduktionsschritte einreichen. Berichte, die sich nur auf die Ergebnisse automatischer Tools/Scanner stützen oder theoretische Angriffsvektoren ohne Nachweis der Ausnutzbarkeit beschreiben, werden nicht akzeptiert.
  • jede Offenlegung über die in diesem Dokument beschriebenen Kanäle koordinieren.

Schwerpunktbereiche:

  • Rechteerweiterung (horizontal oder vertikal),
  • SQL- oder Befehlsinjektion,
  • Cross-Site-Scripting,
  • Remote Code Execution,
  • Cross-Site Request Forgery,
  • Offenlegung von Informationen und
  • Sicherheitsentscheidungen über nicht vertrauenswürdige Eingaben.

Domains im Geltungsbereich

analytics.us001-prod.arcticwolf.net
dashboard.arcticwolf.com
docs.arcticwolf.com
eloc.global-prod.arcticwolf.net
portal.arcticwolf.com
prp.prp.prod.global-prod.arcticwolf.net
rendall.us001-prod.arcticwolf.net
risk.artcicwolf.com
services.risk.us001-prod.arcticwolf.net
 cyberjumpstart.arcticwolf.com
td-classic.arcticwolf.com
cyberjumpstart-reg.arcticwolf.com/cjs/m3

Schwachstellen außerhalb des Geltungsbereichs/Bewährte Praktiken

  • Schwachstellen auf Systemen, die nicht im Besitz von Arctic Wolf sind und nicht von Arctic Wolf betrieben werden, einschließlich der von Arctic Wolf genutzten Dienste von Drittanbietern
  • Denial-of-Service-Schwachstellen
  • Brute-Force-Schwachstellen
  • Schwachstellen, die die Verwendung von nicht mehr aktuellen Browsern / alten Plugins / nicht mehr unterstützter Software benötigen
  • Schwachstellen, die physischen Zugriff auf das Gerät eines Benutzers erfordern
  • nicht-vertrauliche Informationen, die über unser Content Delivery Network oder öffentliche Websites verfügbar sind
  • fehlende zusätzliche Sicherheitskontrollen wie HSTS- oder CSP-Header, die nicht direkt zu Schwachstellen führen
  • Cookies ohne Sicherheitskennzeichen (für nicht-vertrauliche Cookies)
  • Schwachstellen vom Typ „Clickjacking”
  • Banner-Anzeige / Versionsbekanntgabe
  • Vorhandensein des Attributs zur automatischen Vervollständigung in Webformularen
  • zusätzliche fehlende Sicherheitskontrollen, die nicht direkt zu Schwachstellen führen und oft als „Bewährte Praktiken” gelten, wie z. B. Certificate Pinning, Korrekturmaßnahmen für die Offenlegung von Informationen, SPF- oder DMARC-Konfiguration oder TLS-Cipher-Suites.
  • Schwachstellen bei Infrastruktur und Hardware.

Rechtliche Aspekte

Diese Richtlinie ist darauf ausgelegt, mit der gängigen Praxis der Offenlegung von Schwachstellen vereinbar zu sein. Sie erteilt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass die Organisation oder Partnerorganisationen gegen rechtliche Verpflichtungen verstoßen.

Lizenz für eingereichte Inhalte

Indem Sie die Ergebnisse Ihrer Nachforschung mit der Organisation teilen, gewähren Sie der Organisation eine nicht ausschließliche, unwiderrufliche, unbefristete, gebührenfreie, vollständig bezahlte, weltweit geltende und unterlizenzierbare Lizenz für das geistige Eigentum an Ihrem Beitrag für jeden Zweck, für den die Organisation ihn verwenden mag.

Sie erklären sich damit einverstanden, alle Unterlagen zu unterzeichnen, die wir oder unsere Beauftragten benötigen, um die oben gewährten Rechte zu bestätigen, und Sie verstehen, dass Ihnen keine Entschädigung oder Anerkennung für die Verwendung Ihres Beitrags garantiert wird.

Mit der Übermittlung von Beiträgen an die Organisation sichern Sie zu, dass es sich bei Ihrem Beitrag um Ihre eigene Arbeit handelt und dass Sie uneingeschränkt dazu berechtigt sind, die Ergebnisse der Nachforschung bei der Organisation einzureichen.

Safe Harbor

Unser Safe Harbor unterstützt den Schutz von Organisationen und Einzelpersonen, die Schwachstellenforschung in Übereinstimmung mit dieser Richtlinie betreiben.

Wir betrachten die Suche nach Schwachstellen, die in gutem Glauben durchgeführt wird, um unsere Richtlinie einzuhalten, als autorisierte Aktivität, die von uns vor gegnerischen rechtlichen Schritten geschützt ist. Wir verzichten auf jede relevante Einschränkung in unseren Nutzungsbedingungen ("TOS") und/oder Acceptable Use Policies ("AUP"), die im Widerspruch zu dem hier dargelegten Standard für Sicherheitsforschung nach Treu und Glauben steht.

Wir betrachten Schwachstellenforschung, die in gutem Glauben durchgeführt wird, um unsere Richtlinie einzuhalten, als autorisierte Aktivität in Bezug auf alle anwendbaren Anti-Hacking-Gesetze, einschließlich des Consumer Fraud and Abuse Act (CFAA) und des Digital Millennium Copyright Act (DMCA), und wir werden keine rechtlichen Schritte gegen Sie gemäß diesen Gesetzen einleiten oder unterstützen.

Erfolgt die Nachforschung in Übereinstimmung mit unserer Richtlinie, wird die Organisation:

  • keine rechtlichen Schritte gegen Sie einleiten oder Sie melden, auch nicht für die Umgehung der technischen Maßnahmen, die wir zum Schutz der Anwendungen in diesem Bereich einsetzen.
  • Maßnahmen ergreifen, um bekannt zu machen, dass Sie Sicherheitsforschung mit guter Absicht betrieben haben, falls eine andere Person rechtliche Schritte gegen Sie einleitet.

Wenn Sie Fragen zu unserer Richtlinie haben oder eine Klarstellung benötigen, wenden Sie sich bitte an uns, bevor Sie ein Verhalten an den Tag legen, das mit dieser Richtlinie unvereinbar sein könnte.

Es wird von Ihnen erwartet, dass Sie sich wie immer an alle geltenden Gesetze halten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie sich an diese Richtlinie gehalten haben, werden wir Maßnahmen ergreifen, um bekannt zu machen, dass Ihre Handlungen im Einklang mit dieser Richtlinie erfolgt sind.

Bitte beachten Sie, dass die Organisation nicht in der Lage ist, Sicherheitsnachforschungen in der Infrastruktur Dritter zu genehmigen, und dass Dritte nicht an diesen sogenannten Safe Harbor gebunden sind.

Für Schwachstellennachforschungen, die gegen diese Richtlinie verstoßen, gilt der Safe Harbor nicht. Die Organisation behält sich alle nach dem Gesetz verfügbaren Rechte und Rechtsmittel vor.

Diese Richtlinie ermächtigt Sie nicht zum absichtlichen Zugriff auf Unternehmensdaten oder Daten aus dem Konto einer anderen Person ohne deren ausdrückliche Zustimmung, einschließlich (aber nicht beschränkt auf) personenbezogene Informationen oder Daten im Sinne der geltenden Gesetze oder Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Haftung

SIE ÜBERNEHMEN DIE GESAMTE VERANTWORTUNG UND DAS RISIKO FÜR IHRE TEILNAHME AN DER SCHWACHSTELLENNACHFORSCHUNG. IN KEINEM FALL IST DIE ORGANISATION (ODER EINER IHRER LEITENDEN ANGESTELLTEN, DIREKTOREN, AKTIONÄRE, MITARBEITER, TOCHTERGESELLSCHAFTEN, VERBUNDENEN UNTERNEHMEN, VERTRETER ODER WERBETREIBENDEN) HAFTBAR FÜR INDIREKTE, ZUFÄLLIGE, BESONDERE, STRAFENDE, EXEMPLARISCHE ODER FOLGESCHÄDEN, ENTGANGENE GEWINNE ODER SCHÄDEN AUFGRUND VON DATENVERLUSTEN, ENTGANGENEN ARBEITSMÖGLICHKEITEN ODER GESCHÄFTSUNTERBRECHUNGEN) DIE SICH AUS ODER IN VERBINDUNG MIT IHRER TEILNAHME ODER DIESER RICHTLINIE ERGEBEN.

IN KEINEM FALL IST DIE ORGANISATION (ODER EINER IHRER LEITENDEN ANGESTELLTEN, DIREKTOREN, AKTIONÄRE, MITARBEITER, TOCHTERGESELLSCHAFTEN, VERBUNDENEN UNTERNEHMEN, VERTRETER ODER WERBETREIBENDEN) FÜR SCHÄDEN HAFTBAR, DIE INSGESAMT DEN BETRAG VON 200.00 USD ÜBERSTEIGEN.

Unterlassungsklagen

Ein Verstoß gegen diese Richtlinie durch Sie kann der Organisation einen nicht wieder gutzumachenden und anhaltenden Schaden zufügen, für den Geldentschädigungen nicht ausreichen, und die Organisation hat Anspruch auf Unterlassungsansprüche und/oder eine Anordnung zur spezifischen Erfüllung und andere angemessene Rechtsmittel (einschließlich Geldentschädigungen, falls angemessen), ohne dass eine Kaution hinterlegt werden muss.

Entschädigung

Sie erklären sich damit einverstanden, die Organisation für alle Verluste oder Schäden, die infolge eines Verstoßes gegen diese Richtlinie entstehen, zu entschädigen und schadlos zu halten, einschließlich angemessener Anwaltsgebühren und Kosten, die der Organisation entstehen.

Geltendes Recht und Forum

Diese Vereinbarung unterliegt in jeder Hinsicht den Gesetzen der Vereinigten Staaten von Amerika und den Gesetzen des Staates Delaware, USA, ohne Berücksichtigung der Grundsätze des Kollisionsrechts. Sie stimmen unwiderruflich der ausschließlichen persönlichen Gerichtsbarkeit der Bundes- und Staatsgerichte in Delaware zu.

Änderungen an diesen Bedingungen

Wir können die Bedingungen dieser Richtlinie jederzeit ändern. Wir veröffentlichen alle Änderungen auf unserer Website und geben das Datum des Wirksamwerdens bekannt. Wenn Sie mit der neuen Richtlinie nicht einverstanden sind, dürfen Sie nicht teilnehmen.

Kontakt

Wie in der Datei security.txt definiert.