ºÚÁÏÉç

Offenlegung von Schwachstellen

Bedingungen

Offenlegung von Schwachstellen
Letztes Aktualisierungsdatum:
28. Juni 2024

·¡¾±²Ô´Ú¨¹³ó°ù³Ü²Ô²µ

Diese Richtlinie zur Offenlegung von Schwachstellen (die ?Richtlinie¡±) gilt f¨¹r alle Schwachstellen, die Sie Arctic Wolf (die ?Organisation¡±) melden m?chten, solange die betreffende Domain in der unten stehenden Liste aufgef¨¹hrt ist. Diese Richtlinie enth?lt durch Verweis die in den Nutzungsbedingungen und dem Datenschutzhinweis von Arctic Wolf enthaltenen Bestimmungen und Bedingungen. Indem Sie sich in irgendeiner Weise an der Suche nach Schwachstellen beteiligen, akzeptieren Sie die Bedingungen dieser Richtlinie. Wenn Sie damit nicht einverstanden sind, k?nnen Sie nicht teilnehmen.

Bevor Sie versuchen, Sicherheitsl¨¹cken zu finden oder uns eine Schwachstelle zu melden, lesen Sie bitte diese Richtlinie vollst?ndig und befolgen Sie sie stets.

Die Organisation beh?lt sich das Recht vor, die Bestimmungen dieser Richtlinie jederzeit zu ?ndern oder zu beenden. Bitte ¨¹berpr¨¹fen Sie diese Richtlinie regelm??ig, da wir die Bedingungen unseres Programms und unsere Eignungskriterien laufend aktualisieren, und diese mit ihrer Ver?ffentlichung wirksam werden. Wir sch?tzen diejenigen, die sich die Zeit und M¨¹he nehmen, Sicherheitsschwachstellen gem?? dieser Richtlinie zu melden. Wir bieten jedoch keine Belohnungen f¨¹r die Offenlegung von Schwachstellen an.

Melden von Vorf?llen

Wenn Sie glauben, eine sicherheitsbezogene Schwachstelle im System der Organisation gefunden zu haben, senden Sie bitte einen Schwachstellenbericht an die Adresse im Feld KONTAKT der ver?ffentlichten Datei security.txt. Kontaktieren Sie Arctic Wolf nicht ¨¹ber Kan?le, die nicht in unserer security.txt Datei enthalten sind.

Mitarbeiter von Arctic Wolf, Auftragnehmer von Arctic Wolf oder Lieferanten von Arctic Wolf oder Personen, die mit Mitarbeitern, Auftragnehmern oder Lieferanten von Arctic Wolf verwandt oder anderweitig verbunden sind, d¨¹rfen nicht an diesem Programm teilnehmen.

Anmerkung: Arctic Wolf beh?lt sich das Recht vor, Versuche zu blockieren, die gegen die Regeln dieses Programms versto?en. So kann beispielsweise ein ¨¹berm??iger Scan-Verkehr zu einer automatischen Sperrung f¨¹hren.

Geben Sie in Ihrem Bericht bitte Einzelheiten an:

  • Die Website, IP oder Seite, auf der die Schwachstelle beobachtet werden kann;
  • Eine kurze Beschreibung der Art der Schwachstelle, z.?B. ?Schwachstelle bez¨¹glich XSS¡±;
  • Bitte machen Sie nur so viele Angaben, dass wir Ihre Ergebnisse nachvollziehen k?nnen. Legen Sie Beispiele und funktionierende Proof of Concepts vor. Diese sollten gutartig und nicht zerst?rerisch sein. Dieses Vorgehen hilft uns, eine schnelle und akkurate Triage der Berichte zu erm?glichen. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder die b?swillige Ausnutzung bestimmter Schwachstellen, wie z. B. die ?bernahme von Subdomains.

Nachdem Sie Ihre Meldung eingereicht haben, bem¨¹hen wir uns, so schnell wie m?glich auf Ihre Meldung zu reagieren. Wir priorisieren die Korrekturma?nahmen nach Auswirkung, Schweregrad und Komplexit?t der Schwachstelle. Die Sichtung und Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen. Wir bitten Sie lediglich darum, uns eine angemessene Zeitspanne (mindestens 90 Tage ab der ersten Meldung) einzur?umen, um auf das Problem zu reagieren. So k?nnen sich unsere Teams auf die Behebung der Probleme konzentrieren. Sobald die gemeldete Schwachstelle behoben ist, informieren wir Sie. M?glicherweise bitten wir Sie auch, zu best?tigen, dass die umgesetzte L?sung die Schwachstelle ausreichend korrigiert.

Vertraulichkeit

Sie verpflichten sich, alle Einsendungen vertraulich zu behandeln und keine Einsendungen oder Teile davon (einschlie?lich, aber nicht beschr?nkt auf Schwachstellen oder Feedback) an Dritte weiterzugeben. Bitte versuchen Sie nicht, auf Dateien, personenbezogene Informationen oder andere Daten der Organisation (oder ihrer Mitarbeiter, Kunden, Klienten, Auftragnehmer oder Dienstleister) zuzugreifen. Die Organisation ist nicht verpflichtet, eine Einsendung vertraulich zu behandeln.

Anleitungen

Sie d¨¹rfen NICHT:

  • gegen geltende Gesetze oder Vorschriften versto?en.
  • unn?tigerweise oder ¨¹bertrieben h?ufig auf Daten oder auf erhebliche Datenmengen zugreifen. Stellen Sie einen einfachen Proof-of-Concept mit einem m?glichst geringen Ma? an Datenexfiltration bereit.
  • die Verf¨¹gbarkeit, Integrit?t oder Vertraulichkeit sensibler, personenbezogener oder nicht-?ffentlicher Informationen oder Daten beeintr?chtigen.
  • hochintensive, invasive oder zerst?rerische Scan-Tools nutzen, um Schwachstellen zu finden.
  • Berichte ¨¹bermitteln, die nicht ausnutzbare Schwachstellen betreffen, oder darauf hinweisen, dass die Dienste nicht vollst?ndig den ?bew?hrten Praktiken¡± entsprechen (z.?B. fehlende Sicherheits-Header).
  • Schwachstellen oder damit zusammenh?ngende Details auf andere Art und Weise kommunizieren als in der ver?ffentlichten Datei security.txt beschrieben.
  • ?Social Engineering¡± oder ?Phishing¡± betreiben oder physische Angriffe auf das Personal oder die Infrastruktur der Organisation aus¨¹ben.
  • Roboter, ?Spiders¡± oder andere automatische Ger?te, Programme, Skripte, Algorithmen oder Methoden oder ?hnliche oder gleichwertige manuelle Verfahren nutzen, um auf Schwachstellen zuzugreifen, sie sich zu eigen zu machen oder sie zu kopieren.
  • Beitr?ge zu F?llen einreichen, die im Abschnitt ?Schwachstellen au?erhalb des Geltungsbereichs/Bew?hrte Praktiken¡± aufgelistet sind.
  • eine finanzielle Entsch?digung f¨¹r die Offenlegung von Schwachstellen verlangen.
  • Schwachstellen oder den Inhalt eingereichter Berichte mit Dritten (einschlie?lich Medien oder Ver?ffentlichungsdiensten) teilen, ohne vorher eine explizit f¨¹r den Fall geltende schriftliche Zustimmung der Organisation erhalten zu haben.

Sie ³¾¨¹²õ²õ±ð²Ô:

  • sich nach bestem Wissen und Gewissen bem¨¹hen, Verletzungen des Datenschutzes, die Zerst?rung von Daten und die Unterbrechung oder Beeintr?chtigung unseres Dienstes zu vermeiden. Interagieren Sie nur mit Konten, die Ihnen geh?ren oder f¨¹r die Sie die ausdr¨¹ckliche Genehmigung des Kontoinhabers erhalten haben.
  • sich stets an die Datenschutzbestimmungen halten und die Privatsph?re bez¨¹glich aller Daten respektieren, ¨¹ber die die Organisation verf¨¹gt.
  • alle heruntergeladenen Daten und Details zu Schwachstellen vor Offenlegung sch¨¹tzen, sofern es diese Richtlinie nicht anders vorsieht.
  • alle im Rahmen Ihrer Nachforschungen errungenen Daten unwiderruflich l?schen ¨C entweder, sobald sie nicht mehr ben?tigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es die Datenschutzgesetze und -vorschriften vorschreiben).
  • detaillierte Reproduktionsschritte einreichen. Berichte, die sich nur auf die Ergebnisse automatischer Tools/Scanner st¨¹tzen oder theoretische Angriffsvektoren ohne Nachweis der Ausnutzbarkeit beschreiben, werden nicht akzeptiert.
  • jede Offenlegung ¨¹ber die in diesem Dokument beschriebenen Kan?le koordinieren.

Schwerpunktbereiche:

  • Rechteerweiterung (horizontal oder vertikal),
  • SQL- oder Befehlsinjektion,
  • Cross-Site-Scripting,
  • Remote Code Execution,
  • Cross-Site Request Forgery,
  • Offenlegung von Informationen und
  • Sicherheitsentscheidungen ¨¹ber nicht vertrauensw¨¹rdige Eingaben.

Domains im Geltungsbereich

analytics.us001-prod.arcticwolf.net
dashboard.arcticwolf.com
docs.arcticwolf.com
eloc.global-prod.arcticwolf.net
portal.arcticwolf.com
prp.prp.prod.global-prod.arcticwolf.net
rendall.us001-prod.arcticwolf.net
risk.artcicwolf.com
services.risk.us001-prod.arcticwolf.net
 cyberjumpstart.arcticwolf.com
td-classic.arcticwolf.com
cyberjumpstart-reg.arcticwolf.com/cjs/m3

Schwachstellen au?erhalb des Geltungsbereichs/Bew?hrte Praktiken

  • Schwachstellen auf Systemen, die nicht im Besitz von Arctic Wolf sind und nicht von Arctic Wolf betrieben werden, einschlie?lich der von Arctic Wolf genutzten Dienste von Drittanbietern
  • Denial-of-Service-Schwachstellen
  • Brute-Force-Schwachstellen
  • Schwachstellen, die die Verwendung von nicht mehr aktuellen Browsern / alten Plugins / nicht mehr unterst¨¹tzter Software ben?tigen
  • Schwachstellen, die physischen Zugriff auf das Ger?t eines Benutzers erfordern
  • nicht-vertrauliche Informationen, die ¨¹ber unser Content Delivery Network oder ?ffentliche Websites verf¨¹gbar sind
  • fehlende zus?tzliche Sicherheitskontrollen wie HSTS- oder CSP-Header, die nicht direkt zu Schwachstellen f¨¹hren
  • Cookies ohne Sicherheitskennzeichen (f¨¹r nicht-vertrauliche Cookies)
  • Schwachstellen vom Typ ?Clickjacking¡±
  • Banner-Anzeige / Versionsbekanntgabe
  • Vorhandensein des Attributs zur automatischen Vervollst?ndigung in Webformularen
  • zus?tzliche fehlende Sicherheitskontrollen, die nicht direkt zu Schwachstellen f¨¹hren und oft als ?Bew?hrte Praktiken¡± gelten, wie z. B. Certificate Pinning, Korrekturma?nahmen f¨¹r die Offenlegung von Informationen, SPF- oder DMARC-Konfiguration oder TLS-Cipher-Suites.
  • Schwachstellen bei Infrastruktur und Hardware.

Rechtliche Aspekte

Diese Richtlinie ist darauf ausgelegt, mit der g?ngigen Praxis der Offenlegung von Schwachstellen vereinbar zu sein. Sie erteilt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu f¨¹hren k?nnte, dass die Organisation oder Partnerorganisationen gegen rechtliche Verpflichtungen versto?en.

Lizenz f¨¹r eingereichte Inhalte

Indem Sie die Ergebnisse Ihrer Nachforschung mit der Organisation teilen, gew?hren Sie der Organisation eine nicht ausschlie?liche, unwiderrufliche, unbefristete, geb¨¹hrenfreie, vollst?ndig bezahlte, weltweit geltende und unterlizenzierbare Lizenz f¨¹r das geistige Eigentum an Ihrem Beitrag f¨¹r jeden Zweck, f¨¹r den die Organisation ihn verwenden mag.

Sie erkl?ren sich damit einverstanden, alle Unterlagen zu unterzeichnen, die wir oder unsere Beauftragten ben?tigen, um die oben gew?hrten Rechte zu best?tigen, und Sie verstehen, dass Ihnen keine Entsch?digung oder Anerkennung f¨¹r die Verwendung Ihres Beitrags garantiert wird.

Mit der ?bermittlung von Beitr?gen an die Organisation sichern Sie zu, dass es sich bei Ihrem Beitrag um Ihre eigene Arbeit handelt und dass Sie uneingeschr?nkt dazu berechtigt sind, die Ergebnisse der Nachforschung bei der Organisation einzureichen.

Safe Harbor

Unser Safe Harbor unterst¨¹tzt den Schutz von Organisationen und Einzelpersonen, die Schwachstellenforschung in ?bereinstimmung mit dieser Richtlinie betreiben.

Wir betrachten die Suche nach Schwachstellen, die in gutem Glauben durchgef¨¹hrt wird, um unsere Richtlinie einzuhalten, als autorisierte Aktivit?t, die von uns vor gegnerischen rechtlichen Schritten gesch¨¹tzt ist. Wir verzichten auf jede relevante Einschr?nkung in unseren Nutzungsbedingungen ("TOS") und/oder Acceptable Use Policies ("AUP"), die im Widerspruch zu dem hier dargelegten Standard f¨¹r Sicherheitsforschung nach Treu und Glauben steht.

Wir betrachten Schwachstellenforschung, die in gutem Glauben durchgef¨¹hrt wird, um unsere Richtlinie einzuhalten, als autorisierte Aktivit?t in Bezug auf alle anwendbaren Anti-Hacking-Gesetze, einschlie?lich des Consumer Fraud and Abuse Act (CFAA) und des Digital Millennium Copyright Act (DMCA), und wir werden keine rechtlichen Schritte gegen Sie gem?? diesen Gesetzen einleiten oder unterst¨¹tzen.

Erfolgt die Nachforschung in ?bereinstimmung mit unserer Richtlinie, wird die Organisation:

  • keine rechtlichen Schritte gegen Sie einleiten oder Sie melden, auch nicht f¨¹r die Umgehung der technischen Ma?nahmen, die wir zum Schutz der Anwendungen in diesem Bereich einsetzen.
  • Ma?nahmen ergreifen, um bekannt zu machen, dass Sie Sicherheitsforschung mit guter Absicht betrieben haben, falls eine andere Person rechtliche Schritte gegen Sie einleitet.

Wenn Sie Fragen zu unserer Richtlinie haben oder eine Klarstellung ben?tigen, wenden Sie sich bitte an uns, bevor Sie ein Verhalten an den Tag legen, das mit dieser Richtlinie unvereinbar sein k?nnte.

Es wird von Ihnen erwartet, dass Sie sich wie immer an alle geltenden Gesetze halten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie sich an diese Richtlinie gehalten haben, werden wir Ma?nahmen ergreifen, um bekannt zu machen, dass Ihre Handlungen im Einklang mit dieser Richtlinie erfolgt sind.

Bitte beachten Sie, dass die Organisation nicht in der Lage ist, Sicherheitsnachforschungen in der Infrastruktur Dritter zu genehmigen, und dass Dritte nicht an diesen sogenannten Safe Harbor gebunden sind.

F¨¹r Schwachstellennachforschungen, die gegen diese Richtlinie versto?en, gilt der Safe Harbor nicht. Die Organisation beh?lt sich alle nach dem Gesetz verf¨¹gbaren Rechte und Rechtsmittel vor.

Diese Richtlinie erm?chtigt Sie nicht zum absichtlichen Zugriff auf Unternehmensdaten oder Daten aus dem Konto einer anderen Person ohne deren ausdr¨¹ckliche Zustimmung, einschlie?lich (aber nicht beschr?nkt auf) personenbezogene Informationen oder Daten im Sinne der geltenden Gesetze oder Daten, die sich auf eine identifizierte oder identifizierbare nat¨¹rliche Person beziehen.

Haftung

SIE ?BERNEHMEN DIE GESAMTE VERANTWORTUNG UND DAS RISIKO F?R IHRE TEILNAHME AN DER SCHWACHSTELLENNACHFORSCHUNG. IN KEINEM FALL IST DIE ORGANISATION (ODER EINER IHRER LEITENDEN ANGESTELLTEN, DIREKTOREN, AKTION?RE, MITARBEITER, TOCHTERGESELLSCHAFTEN, VERBUNDENEN UNTERNEHMEN, VERTRETER ODER WERBETREIBENDEN) HAFTBAR F?R INDIREKTE, ZUF?LLIGE, BESONDERE, STRAFENDE, EXEMPLARISCHE ODER FOLGESCH?DEN, ENTGANGENE GEWINNE ODER SCH?DEN AUFGRUND VON DATENVERLUSTEN, ENTGANGENEN ARBEITSM?GLICHKEITEN ODER GESCH?FTSUNTERBRECHUNGEN) DIE SICH AUS ODER IN VERBINDUNG MIT IHRER TEILNAHME ODER DIESER RICHTLINIE ERGEBEN.

IN KEINEM FALL IST DIE ORGANISATION (ODER EINER IHRER LEITENDEN ANGESTELLTEN, DIREKTOREN, AKTION?RE, MITARBEITER, TOCHTERGESELLSCHAFTEN, VERBUNDENEN UNTERNEHMEN, VERTRETER ODER WERBETREIBENDEN) F?R SCH?DEN HAFTBAR, DIE INSGESAMT DEN BETRAG VON 200.00?USD ?BERSTEIGEN.

Unterlassungsklagen

Ein Versto? gegen diese Richtlinie durch Sie kann der Organisation einen nicht wieder gutzumachenden und anhaltenden Schaden zuf¨¹gen, f¨¹r den Geldentsch?digungen nicht ausreichen, und die Organisation hat Anspruch auf Unterlassungsanspr¨¹che und/oder eine Anordnung zur spezifischen Erf¨¹llung und andere angemessene Rechtsmittel (einschlie?lich Geldentsch?digungen, falls angemessen), ohne dass eine Kaution hinterlegt werden muss.

Entsch?digung

Sie erkl?ren sich damit einverstanden, die Organisation f¨¹r alle Verluste oder Sch?den, die infolge eines Versto?es gegen diese Richtlinie entstehen, zu entsch?digen und schadlos zu halten, einschlie?lich angemessener Anwaltsgeb¨¹hren und Kosten, die der Organisation entstehen.

Geltendes Recht und Forum

Diese Vereinbarung unterliegt in jeder Hinsicht den Gesetzen der Vereinigten Staaten von Amerika und den Gesetzen des Staates Delaware, USA, ohne Ber¨¹cksichtigung der Grunds?tze des Kollisionsrechts. Sie stimmen unwiderruflich der ausschlie?lichen pers?nlichen Gerichtsbarkeit der Bundes- und Staatsgerichte in Delaware zu.

?nderungen an diesen Bedingungen

Wir k?nnen die Bedingungen dieser Richtlinie jederzeit ?ndern. Wir ver?ffentlichen alle ?nderungen auf unserer Website und geben das Datum des Wirksamwerdens bekannt. Wenn Sie mit der neuen Richtlinie nicht einverstanden sind, d¨¹rfen Sie nicht teilnehmen.

Kontakt

Wie in der Datei security.txt definiert.