Richtlinie zur Offenlegung von Schwachstellen | OneSuite

Melden Sie Schwachstellen in OneSuite-Systemen

Einfuehrung

Bei OneSuite hat Informationssicherheit hoechste Prioritaet, und wir setzen uns dafuer ein, die Vertraulichkeit, Integritaet und Verfuegbarkeit unserer Systeme und Daten zu schuetzen. Diese Richtlinie bietet Sicherheitsforschern klare Leitlinien fuer die Durchfuehrung von Schwachstellensuchen und beschreibt, wie Schwachstellen verantwortungsvoll an uns gemeldet werden koennen.

Dieses Dokument legt fest, welche Systeme und Forschungsarten unter diese Richtlinie fallen, wie Schwachstellenberichte eingereicht werden und welche Fristen wir fuer die oeffentliche Offenlegung vorschlagen.

Wir ermutigen Sicherheitsforscher, Schwachstellen wie in dieser Richtlinie beschrieben zu melden. Ihre Bemuehungen helfen uns, potenzielle Probleme zu beheben und die Sicherheit des OneSuite-Oekosystems aufrechtzuerhalten.

Autorisierung

Wenn Sie sich in gutem Glauben bemuehen, diese Richtlinie einzuhalten, betrachtet OneSuite Ihre Forschung als autorisiert. Wir werden mit Ihnen zusammenarbeiten, um das Problem schnell zu verstehen und zu loesen, und werden keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung empfehlen oder einleiten.

Sollte ein Dritter rechtliche Schritte gegen Sie einleiten fuer Aktivitaeten, die gemaess dieser Richtlinie durchgefuehrt wurden, wird OneSuite diese Autorisierung bekannt machen.

Leitlinien

Im Rahmen dieser Richtlinie bezeichnet "Forschung" Aktivitaeten, bei denen Sie:

  • Uns so schnell wie moeglich benachrichtigen, nachdem Sie ein reales oder potenzielles Sicherheitsproblem entdeckt haben.
  • Analysen nur innerhalb des definierten Geltungsbereichs durchfuehren.
  • Datenschutzverletzungen, Beeintraechtigungen der Benutzererfahrung, Stoerungen von Produktionssystemen und Zerstoerung oder Manipulation von Daten vermeiden.
  • Exploits nur in dem Masse verwenden, wie es zur Bestaetigung des Vorhandenseins einer Schwachstelle erforderlich ist. Verwenden Sie Exploits nicht, um Daten zu kompromittieren oder zu exfiltrieren, Befehlszeilenzugriff zu erlangen oder auf andere Systeme ueberzugehen.
  • Uns eine angemessene Frist zur Behebung des Problems einraeumen, bevor Sie es oeffentlich offenlegen.
  • Vermeiden, eine grosse Menge minderwertiger Berichte einzureichen.

Sobald Sie festgestellt haben, dass eine Schwachstelle besteht, oder auf sensible Daten stossen (einschliesslich personenbezogener Daten, Finanzdaten oder proprietaerer Informationen oder Geschaeftsgeheimnisse einer Partei), muessen Sie Ihren Test beenden, uns sofort benachrichtigen und diese Daten niemandem anderem offenlegen.

Geltungsbereich

Diese Richtlinie gilt fuer die folgenden Systeme und Dienste:

  • *.onesuite.io

Ausserhalb des Geltungsbereichs liegende Probleme

Die folgenden Probleme gelten als ausserhalb des Geltungsbereichs dieser Richtlinie:

  • Tests von OneSuite-Kundenwerten.
  • Modell-Halluzinationen.
  • Probleme mit der Inhaltsmoderation oder Anwerbung.
  • Sicherheitspraktiken, die durch andere Kontrollen gemindert werden (z.B. fehlende Sicherheitsheader).
  • Social Engineering, Phishing und physische Angriffe.
  • Probleme wie fehlende Cookie-Flags, CSRF mit geringer Auswirkung (z.B. An-/Abmelde-CSRF), Content-Spoofing oder Stack-Traces.
  • Schwachstellen ohne nachweisbare Sicherheitsauswirkungen.
  • DOS/DDOS-Angriffe.
  • Host-Header-Injection ohne Auswirkung.
  • Scanner-Ausgaben, Serverfehlermeldungen (es sei denn, sie geben kritische Informationen preis).
  • Berichte zu veralteten Browsern oder unkritischen Fehlern.

Alle Dienste, die im obigen Abschnitt "Geltungsbereich" nicht ausdruecklich aufgefuehrt sind, wie z.B. verbundene Dienste, sind vom Geltungsbereich ausgeschlossen und nicht zum Testen autorisiert. Darueber hinaus fallen Schwachstellen, die in Systemen unserer Anbieter gefunden werden, ausserhalb des Geltungsbereichs dieser Richtlinie und sollten direkt gemaess deren Offenlegungsrichtlinie (sofern vorhanden) an den Anbieter gemeldet werden. Wenn Sie sich nicht sicher sind, ob ein System im Geltungsbereich liegt, kontaktieren Sie uns unter [email protected], bevor Sie Ihre Forschung beginnen.

Anerkennung

Obwohl OneSuite derzeit keine finanziellen Belohnungen anbietet, schaetzen wir Ihre Beitraege. Als Zeichen unserer Wertschaetzung werden wir Ihre Hilfe auf unserer Seite fuer Sicherheitsoffenlegungs-Anerkennungen anerkennen, es sei denn, Sie bevorzugen Anonymitaet. Wir arbeiten an der Implementierung eines Bug-Bounty-Programms, um in Zukunft finanzielle Belohnungen zu ermoeglichen.

Eine Schwachstelle melden

Im Rahmen dieser Richtlinie eingereichte Informationen werden ausschliesslich fuer Verteidigungszwecke verwendet. Wenn Ihre Erkenntnisse Schwachstellen aufzeigen, die die breitere Benutzergemeinschaft betreffen, koennen wir Ihren Bericht mit der Cybersecurity and Infrastructure Security Agency (CISA) teilen. Wir werden Ihren Namen oder Ihre Kontaktinformationen ohne Ihre Erlaubnis nicht offenlegen.

Was wir gerne sehen wuerden

Um uns bei der effektiven Triage und Priorisierung von Einreichungen zu helfen, geben Sie bitte Folgendes an:

  • Den Standort und die moegliche Auswirkung der Schwachstelle.
  • Eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Schwachstelle erforderlich sind (z.B. Proof-of-Concept-Skripte, Screenshots).
  • Berichte in englischer Sprache.

Was Sie von uns erwarten koennen

Wenn Sie Ihre Kontaktdaten mitteilen, verpflichten wir uns zu Folgendem:

  • Bestaetigung des Eingangs Ihres Berichts innerhalb von 14 Werktagen.
  • Bestaetigung des Vorhandenseins der Schwachstelle und Information ueber unseren Behebungsprozess, einschliesslich moeglicher Verzoegerungen.

Bitte beachten Sie, dass OneSuite keine Verguetung fuer eingereichte Schwachstellen bietet. Mit der Einreichung eines Berichts verzichten Sie auf Ansprueche auf Entschaedigung.

Fragen

Bei Fragen oder Anregungen zu dieser Richtlinie kontaktieren Sie uns unter [email protected].

Letzte Aktualisierung: 12. November 2024